Bilan de la sécurité de juillet 2020

Le Roundup de juillet couvre la sécurité MS Edge, le contenu mixte dans Chrome 85, les certificats de 398 jours dans Chrome et Firefox, et TLS Désapprobation 1.0 et 1.1 dans MS Office.

Rubriques connexes

Vous voulez continuer à apprendre?

Abonnez-vous à la newsletter SSL.com, restez informé et en sécurité.

Reporting en direct à partir du milieu de l'été, nous sommes heureux de vous présenter un tour d'horizon du mois de juillet du monde de la sécurité numérique! Ce mois-ci, nous allons examiner:

Besoin d'un certificat? SSL.com fournit une grande variété de certificats numériques, notamment:

COMPARER SSL /TLS CERTIFICATS

NSS Labs attribue à Microsoft Edge la meilleure note pour la prévention du phishing et des logiciels malveillants

Jusqu'à présent, Microsoft Edge s'est avéré être un concurrent sérieux des navigateurs plus établis et les nouvelles mises à jour ne font que renforcer sa position. UNE rapport par Kate O'Flaherty dans Forbes note qu'il est peut-être toujours le navigateur numéro deux dans l'ensemble, mais les mises à jour récentes l'ont rendu inégalé en matière de sécurité. De l'article Forbes:

Mais un nouveau rapport de NSS Labs effectivement vu Microsoft Edge battre Chrome dans les enjeux de sécurité. Parce qu'il utilise Écran intelligent Microsoft Defender, Edge s'est avéré offrir la meilleure protection contre le phishing par rapport aux autres navigateurs testés, bloquant 95.5% des URL de phishing. Google, qui utilise le API de navigation sécurisée, est arrivé deuxième avec 86.9%.

En tant que site axé sur Microsoft OnMsft rapports, un autre rapport distinct de NSS Labs montre comment Edge a également une meilleure protection contre les logiciels malveillants que ses rivaux Chrome, Firefox et Opera. Microsoft Edge bloque 98.5% des malwares, tandis que Firefox en deuxième place bloque en moyenne 86.1%, suivi de Google Chrome à 86.0%.

C'est, bien sûr, le moment idéal pour se concentrer sur la sécurité du navigateur, car davantage de travail et d'opérations passent du bureau à un modèle de travail à domicile décentralisé. Nous garderons un œil sur les mises à jour qu'Edge continue de produire et regarderons le navigateur se battre pour dominer le marché.

À retenir de SSL.com: Chez SSL.com, nous sommes de grands fans de la concurrence, en particulier lorsqu'il s'agit d'une bataille pour la sécurité des utilisateurs. Il est agréable de voir que Microsoft Edge prend la sécurité au sérieux avec son nouveau navigateur Edge basé sur Chromium.

Images à mettre à jour automatiquement vers HTTPS dans Chrome 85 d'ici la fin de l'été

Dans une autre étape vers une implémentation universelle de HTTPS, la prochaine version majeure de Chrome mettra automatiquement à niveau les images servies via HTTP à partir de sites Web HTTPS vers le protocole plus sécurisé. Dans Chrome 85, dont la version stable sortira le 25 août, HTTPS sera la seule option pour les images servies à partir de sites Web HTTPS - si cela n'est pas disponible, les images ne seront tout simplement pas affichées dans Chrome.

Comme d'habitude, le blog Chromium a plus de détails:

Chrome est maintenant mise à jour automatique des images servis via HTTP à partir de sites HTTPS en réécrivant les URL en HTTPS sans revenir à HTTP lorsque le contenu sécurisé n'est pas disponible. Chrome met automatiquement à niveau le contenu audio et vidéo depuis la version 80.

C'est un bon pas en avant et un bon rappel éliminer le contenu mixte sur les sites Web!

À retenir de SSL.com:  Si vous ne l'avez pas encore contenu mixte éliminé depuis votre site Web, c'est le moment! Et, si ces nouvelles informations ne sont pas claires, assurez-vous que toutes les images de vos sites Web HTTPS sont disponibles via HTTPS avant le 25 août, si vous souhaitez qu'elles soient vues par les utilisateurs de Chrome.

Chrome et Firefox suivent Apple sur les certificats de 398 jours

Eh bien, c'est officiel. À compter du 1er septembre, tous les logiciels Apple rejetteront (essentiellement) SSL /TLS certificats valables plus de 398 jours. L'industrie savait que cela se produirait depuis février, alors même si cela est toujours remarquable, la vraie nouvelle est que Chrome et Firefox emboîtent officiellement le pas, Mozilla se préparant à passer à 398 certificats dans son navigateur, et confirmation dans le code source de Chromium que Chrome appliquerait la même norme à partir du 1er septembre également.

Le registre a fait état du «snobbing» des certificats de 2 ans dans un article de Shaun Nichols à propos du changement:

Apple estime que cette politique garantit que les sites Web et les applications actualisent leurs certificats une fois par an, les encourageant ainsi à utiliser les dernières normes cryptographiques, et garantit que les certificats volés ne peuvent pas être utilisés pour des campagnes de phishing de longue durée et d'autres manigances car ils expireront assez tôt.

… Il suffit de dire que les vendeurs de certificats étaient irrités par le changement. "La décision unilatérale d'Apple, contre les résultats du scrutin, rend le forum CA / B un peu inutile, de notre point de vue", a reniflé le cert biz espagnol Firmaprofesional.

Tous les signes indiquent que tout le monde suit l'exemple d'Apple pour raccourcir la durée de vie des certificats. Pour le moment, Microsoft n'a pas encore annoncé ce qu'il fera, mais il est facile d'en tirer des conclusions, étant donné que le navigateur Edge de l'entreprise utilise Chrome comme moteur.

À retenir de SSL.com: Nous avons prédit que cela se produirait probablement en Février, alors que la décision unilatérale d'Apple de raccourcir la durée de vie des certificats a forcé un nouveau consensus de l'industrie. En fait, SSL.com a déjà fait des plans pour se conformer à la politique d'Apple avant que le changement n'entre en vigueur, de sorte que les clients de SSL.com ne seront pas affectés sur les navigateurs qui adoptent les nouvelles limites de durée de vie des certificats plus courtes.

Microsoft impose la dépréciation de TLS 1.0 et 1.1 pour Office 365

Après un retard lié à la pandémie, Microsoft va officiellement commencer à appliquer l'amortissement des TLS Protocoles 1.0 et 1.1 - connus pour leur non-sécurité - dans Office 365. Les protocoles étaient en fait obsolètes à compter du 31 octobre 2018. Et, selon Microsoft, l'application a été réinitialisée et devrait être opérationnelle le 15 octobre , 2020.

Honnêtement, cela n'aura pas d'impact sur trop d'utilisateurs car le client Office est capable d'utiliser TLS 1.2 si pris en charge par l'ordinateur local. Cependant, il peut être intéressant de noter que TLS 1.2 n'est pas disponible sur Windows 7 sans le Mise à jour KB 3140245. Ceux qui recherchent un aperçu technique du changement peuvent se diriger vers le Microsoft Blog, ce qui explique tout.

À retenir de SSL.com: Comme indiqué ci-dessus, la plupart des utilisateurs ne seront pas affectés par ce changement car tous les systèmes d'exploitation modernes prennent en charge TLS 1.2. Les utilisateurs de Windows 7 peuvent s'assurer que la mise à jour requise a été appliquée sur leurs systèmes, mais ils doivent fortement envisager la mise à niveau vers Windows 10, comme prise en charge de Windows 7 (y compris les correctifs de sécurité) terminé de retour le 14 janvier 2020.

Nous aimerions recevoir vos commentaires

Répondez à notre enquête et faites-nous part de votre avis sur votre récent achat.