Résumé de la sécurité d'avril 2020

Couverture du mois d'avril TLS 1.0 et 1.1 dans les navigateurs de Microsoft, le mode HTTPS uniquement et les certificats clients dans Firefox et l'alternative Zoom Jitsi.

Rubriques connexes

Vous voulez continuer à apprendre?

Abonnez-vous à la newsletter SSL.com, restez informé et en sécurité.

Bienvenue dans cette édition d'avril du Security Roundup de SSL.com! Beaucoup d'entre nous ont été enfermés à l'intérieur du mois dernier, mais la vie en ligne est toujours aussi solide, ce qui signifie que nous avons beaucoup à rassembler en matière de sécurité numérique. Ce mois-ci, nous examinerons:

Report de Microsoft TLS 1.0 et 1.1 Obsolescence

Bien que Microsoft ait prévu de désactiver Transport Layer Security (TLS) versions 1.0 et 1.1 ce printemps, la société annoncé que «à la lumière de l'actualité», ce plan sera désormais reporté à la fin de l'année.

Bien que cela puisse sembler une excuse pratique pour ne pas agir, Rapports ghacks.net qu'un engagement répandu parmi les navigateurs de désactiver les protocoles de sécurité est effectivement devenu un problème pendant la pandémie. Ils écrivent:

Certains, comme Mozilla, sont allés de l'avant avec le changement, mais l'ont annulé quand il est devenu clair que certains sites du gouvernement s'appuyaient toujours sur ces protocoles. Les utilisateurs de Firefox ne pouvaient plus accéder à ces sites en raison des protocoles désactivés. Mozilla a réactivé les protocoles pour s'assurer que les utilisateurs de Firefox dans le monde entier peuvent accéder à des sites importants en temps de crise.

À l'heure actuelle, Microsoft prévoit de publier une nouvelle version 84r de Microsoft Edge basée sur Chromium en juillet, où TLS 1.0 et 1.1 seront désactivés par défaut. Microsoft Internet Explorer 11 et Classic Microsoft Edge désactiveront les protocoles le 8 septembre.

À retenir de SSL.com: Nous vous avertissons depuis un certain temps que ces protocoles sont obsolètes et peu sûrs, et cette dernière ride ne change rien à cela. Parce qu'il n'est prévu de les désactiver par défaut dans les navigateurs, pas de les supprimer complètement, ils peuvent toujours être activés si cela est absolument nécessaire. Mais s'il vous plaît ne faites cela que si c'est vraiment nécessaire.

Firefox 76 obtient le mode HTTPS uniquement en option

Mozilla a annoncé qu'ils offriront aux utilisateurs un Mode HTTPS uniquement dans la version 76 du navigateur Firefox. Selon Softpedia la fonctionnalité servira à pousser les quelques retardataires qui s'accrochent à HTTP sur le site sécurisé HTTPS protocole. Une fois activés dans le navigateur, les sites HTTP ne se chargeraient plus. Au lieu de cela, le navigateur tentera de mettre à niveau la connexion vers HTTPS. Si ce n'est pas disponible, pour l'instant, les utilisateurs recevront un avertissement «Échec de la connexion sécurisée» qui peut être pris en compte ou ignoré.

Firefox 76 ne proposera cette navigation plus sécurisée qu'en option pour le moment - et non par défaut - les utilisateurs devront donc opter pour l'expérience HTTPS uniquement.

À retenir de SSL.com:  Si vous souhaitez configurer Firefox pour utiliser uniquement HTTPS, nous vous fournirons des instructions détaillées après la date de sortie prévue, qui est actuellement le 5 mai 2020.

Certificats clients simplifiés dans Firefox 75

Pour en savoir plus sur Firefox, Mozilla annoncé qu'ils simplifieront l'utilisation du certificat client dans la version 75 du navigateur en lui permettant d'accéder au magasin de certificats du système d'exploitation sous Windows et macOS. Jusqu'à présent, les utilisateurs de Firefox ont dû travailler avec des certificats clients dans le navigateur en chargeant une bibliothèque tierce pour communiquer avec des jetons matériels ou en important des certificats et des clés privées dans le propre magasin de certificats du navigateur. Ce n'est pas la manière la plus sûre de faire les choses et peut également causer des problèmes de stabilité.

 Maintenant, comme Chrome et d'autres navigateurs, Firefox a développé sa propre bibliothèque pour s'interfacer avec le stockage des certificats du système d'exploitation. Du blog:

Plutôt que de charger des bibliothèques tierces pour communiquer avec des jetons matériels, Firefox peut déléguer cette tâche au système d'exploitation. De plus, au lieu de forcer l'utilisateur à exporter des certificats clients et à les réimporter dans leur profil Firefox, Firefox peut rechercher ces certificats directement. En plus de protéger les clés privées, ce nouveau mécanisme permet à Firefox d'utiliser des certificats clients avec des clés non exportables… Nous nous attendons à ce que cette fonctionnalité soit très avantageuse pour nos utilisateurs d'entreprise qui ont déjà fait de grands efforts pour configurer Firefox pour qu'il fonctionne dans leur environnement. .

À retenir de SSL.com: Les certificats d'authentification client ajoutent un facteur d'authentification sécurisé supplémentaire lors de la connexion aux applications Web. Nous sommes heureux que Mozilla travaille pour simplifier le processus pour les utilisateurs de Firefox, et espérons que Mozilla prévoit une mise à niveau similaire pour son Thunderbird Client de messagerie.

Jitsi offre une alternative open-source au zoom

Zoom a fait la une des journaux le mois dernier. Tout d'abord, tout le monde a sauté sur Zoom pour se connecter au travail, à ses amis et à sa famille depuis son domicile tout en ayant pour ordre de rester à la maison pour empêcher la propagation du coronavirus. Ensuite, tout le monde s'est enfui lorsque des problèmes de sécurité sont survenus et ont été résolus. Pendant ce temps, des alternatives ont émergé.

Rencontre avec Jitsi de 8 × 8 offre une option open-source pour la vidéoconférence avec des fonctionnalités telles que la protection par mot de passe. Et, comme notes câblées, il existe des avantages distincts à disposer d'un logiciel open source qui permet des modifications par la communauté des développeurs:

Le fait que n'importe qui puisse modifier et partager le code de Jitsi signifie que d'autres peuvent intégrer l'outil dans leur logiciel. WeSchool l'a fait. Tout comme le service de logiciel de chat open source émeute, qui utilise Jitsi pour son composant de chat vidéo. Ivov dit que 8 × 8 profite de ce type de projets car ils testent les performances du code de Jitsi sur différents appareils et dans différents environnements. Cela aide l'équipe de développement de Jitsi à améliorer le logiciel pour les utilisateurs open source et les clients 8 × 8 payés.

À l'heure actuelle, Jitsi propose uniquement un chiffrement de bout en bout pour leurs appels individuels, pas des conférences de plus de deux personnes (qui nécessitent l'utilisation d'un serveur centralisé qui doit déchiffrer les données) / Cependant, ils fonctionnent sur l'extension du chiffrement de bout en bout à ces appels plus importants.

À retenir de SSL.com:  SSL.com prend en charge le cryptage de bout en bout pour les appels vidéo et le développement d'outils open source sécurisés et privés pour ce qui est devenu un service essentiel. La visioconférence étant devenue un outil de communication crucial dans toutes nos vies, nous suivrons de près l'évolution de Jitsi.
Merci d'avoir choisi SSL.com! Si vous avez des questions, veuillez nous contacter par e-mail à Support@SSL.com, appel 1-877-SSL-SECURE, ou cliquez simplement sur le lien de discussion en bas à droite de cette page. Vous pouvez également trouver des réponses à de nombreuses questions d'assistance courantes dans notre knowledgebase.


Nous aimerions recevoir vos commentaires

Répondez à notre enquête et faites-nous part de votre avis sur votre récent achat.