Bienvenue dans cette édition de février du Security Roundup de SSL.com. C'est peut-être notre mois le plus court, mais il était encore plein de développements en SSL /TLS, les certificats numériques et la sécurité du réseau. Ce mois-ci, nous couvrirons:
- Apple limite SSL /TLS Certificats à un peu plus d'un an
- DNS sur HTTPS maintenant un défaut de Firefox
- Plus d'écriture sur le mur pour TLS 1.0 et 1.1
- Chrome bloquera les téléchargements non sécurisés
Apple impose un nouveau délai aux certificats
Comme nous l'avons déjà signalé, Apple a récemment choisi de limiter SSL /TLS durée de vie des certificats à un peu plus d'un an. Lors du forum CA / Browser (CA / B) de février à Bratislava, en Slovaquie, Apple a annoncé qu'à compter du 1er septembre 2020, ses appareils et son navigateur Safari n'accepteraient plus de certificats d'une durée de vie supérieure à 398 jours. Il n'y a pas encore eu d'annonce écrite officielle d'Apple. (Mettre à jour: Apple annoncé le changement de politique sur son site Internet le 3 mars 2020.) Le registre note:
La réduction de la durée de vie des certificats a été étudiée par Apple, Google et d'autres membres de CA / Browser pendant des mois. La politique a ses avantages et ses inconvénients… Le but de cette décision est d'améliorer la sécurité du site Web en s'assurant que les développeurs utilisent des certificats avec les dernières normes cryptographiques, et de réduire le nombre d'anciens certificats négligés qui pourraient être volés et réutilisés pour hameçonnage et attaques de logiciels malveillants au volant. Si des boffins ou des mécréants sont capables de casser la cryptographie dans un SSL /TLS des certificats standard de courte durée assureront la migration des personnes vers des certificats plus sécurisés dans un délai d'environ un an.
Qu'un changement aussi important se produise de cette façon est quelque peu surprenant, mais le changement lui-même ne l'est pas. Durée de vie des certificats plus courte, comme indiqué par Le registre, sont quelque chose que l'industrie a sérieusement envisagé récemment. Un scrutin du Forum CA / B de septembre aurait pu changer la période de validité maximale des certificats par rapport à la norme actuelle de 825 jours, un an, mais ce vote a échoué. Cette fois, il n'a pas fallu voter - une entreprise aussi influente qu'Apple peut modifier la norme par elle-même.
DNS sur HTTPS maintenant Firefox par défaut
Ce mois-ci, Mozilla a mis DNS sur HTTPS (DoH) par défaut pour les utilisateurs américains de son navigateur Firefox. Pour ceux qui découvrent le concept: DoH crypte les informations DNS qui ne sont généralement pas cryptées (même sur des sites Web sécurisés) et empêche les autres de voir quels sites Web les gens visitent. Pour certaines entités qui aiment collecter des données sur les utilisateurs (comme le gouvernement ou ceux qui espèrent tirer profit de la vente de ces données), c'est une mauvaise nouvelle. Et certains soutiennent également que l'opacité accrue empêche l'espionnage utile qui suit les criminels et permet un contrôle parental sur la navigation. D'autres, comme Mozilla (clairement) et Electronic Frontier Foundation vante les avantages de DoH, soulignant que le cryptage du trafic Web améliore la confidentialité du public et contrecarre les tentatives de traquer et de censurer les gens par le gouvernement. Firefox de Mozilla est le premier navigateur à adopter la norme par défaut.
Firefox et Slack l'ont eu avec TLS 1.0 et 1.1
Dans un mouvement sans équivoque pour se débarrasser de TLS 1.0 et 1.1 entièrement, Mozilla exige maintenant un remplacement manuel des utilisateurs qui tentent de se connecter à des sites Web à l'aide des protocoles. Le changement est une étape vers leur objectif déclaré de bloquer complètement ces sites. Comme The Verge rapports, le changement signifie ce qui est «vraiment la fin des temps» pour TLS et 1.0 et 1.1, et Mozilla sera rejoint par d'autres dans un proche avenir:
La prise en charge complète sera supprimée de Safari dans les mises à jour d'Apple iOS et macOS à partir de mars 2020. ' Google a déclaré qu'il supprimerait la prise en charge de TLS 1.0 et 1.1 dans Chrome 81 (attendus le 17 mars). Microsoft a affirmé Valérie Plante. il en serait de même «au premier semestre 2020».
Mozilla n'est pas le seul grand fournisseur de logiciels à éloigner tout le monde TLS 1.0 et 1.1. Ce mois-ci, Slack mis fin au soutien pour eux aussi; la société affirme qu'elle fait le changement «pour s'aligner sur les meilleures pratiques du secteur en matière de sécurité et d'intégrité des données».
Chrome pour bloquer les téléchargements non sécurisés
Récemment, les navigateurs ont décidé d'avertir les utilisateurs contenu mixte. Le contenu mixte se produit lorsque les sites Web sont liés à du contenu HTTP non sécurisé (comme des images et des téléchargements) à partir de pages HTTPS, «mélangeant» les deux protocoles d'une manière qui n'est pas évidente pour les utilisateurs sans avertissement (nous avons examiné le concept plus en profondeur dans cet article). Maintenant, Chrome va encore plus loin et empêchera le téléchargement de contenu mixte. Comme le Tech Times, rapports:
À partir de Chrome 82, dont la sortie est prévue en avril, Chrome avertira les utilisateurs s'ils sont sur le point de télécharger des exécutables à contenu mixte à partir d'un site Web stable ... Ensuite, lorsque la version 83 sera publiée, les téléchargements d'exécutables pourraient être bloqués, et la mise en garde peut être implémenté pour archiver les fichiers. Les fichiers PDF et .Doc recevront l'avertissement dans Chrome 84, avec des fichiers audio, images, texte et vidéo le montrant à l'aide de la 85e version. Enfin, tous les téléchargements de contenu mixte - un fichier non stable provenant d'un site stable - peuvent être bloqués dès la sortie de Chrome 86.
Voici un tableau pratique de Google montrant leur chronologie d'avertissement / blocage pour différents types de contenu mixte:
