Reporting en direct à partir du milieu de l'été, nous sommes heureux de vous présenter un tour d'horizon du mois de juillet du monde de la sécurité numérique! Ce mois-ci, nous allons examiner:
- Microsoft gagne un avantage dans le jeu de la sécurité
- Images à mettre à niveau automatiquement vers HTTPS dans Chrome 85
- Apple, Chrome et Firefox passent aux certificats de 398 jours
- Microsoft impose la dépréciation de TLS 1.0 et 1.1 pour Office 365
Besoin d'un certificat? SSL.com fournit une grande variété de certificats numériques, notamment:
NSS Labs attribue à Microsoft Edge la meilleure note pour la prévention du phishing et des logiciels malveillants
Jusqu'à présent, Microsoft Edge s'est avéré être un concurrent sérieux des navigateurs plus établis et les nouvelles mises à jour ne font que renforcer sa position. UNE rapport par Kate O'Flaherty dans Forbes note qu'il est peut-être toujours le navigateur numéro deux dans l'ensemble, mais les mises à jour récentes l'ont rendu inégalé en matière de sécurité. De l'article Forbes:
Mais un nouveau rapport de NSS Labs effectivement vu Microsoft Edge battre Chrome dans les enjeux de sécurité. Parce qu'il utilise Écran intelligent Microsoft Defender, Edge s'est avéré offrir la meilleure protection contre le phishing par rapport aux autres navigateurs testés, bloquant 95.5% des URL de phishing. Google, qui utilise le API de navigation sécurisée, est arrivé deuxième avec 86.9%.
En tant que site axé sur Microsoft OnMsft rapports, un autre rapport distinct de NSS Labs montre comment Edge a également une meilleure protection contre les logiciels malveillants que ses rivaux Chrome, Firefox et Opera. Microsoft Edge bloque 98.5% des malwares, tandis que Firefox en deuxième place bloque en moyenne 86.1%, suivi de Google Chrome à 86.0%.
C'est, bien sûr, le moment idéal pour se concentrer sur la sécurité du navigateur, car davantage de travail et d'opérations passent du bureau à un modèle de travail à domicile décentralisé. Nous garderons un œil sur les mises à jour qu'Edge continue de produire et regarderons le navigateur se battre pour dominer le marché.
Images à mettre à jour automatiquement vers HTTPS dans Chrome 85 d'ici la fin de l'été
Dans une autre étape vers une implémentation universelle de HTTPS, la prochaine version majeure de Chrome mettra automatiquement à niveau les images servies via HTTP à partir de sites Web HTTPS vers le protocole plus sécurisé. Dans Chrome 85, dont la version stable sortira le 25 août, HTTPS sera la seule option pour les images servies à partir de sites Web HTTPS - si cela n'est pas disponible, les images ne seront tout simplement pas affichées dans Chrome.
Comme d'habitude, le blog Chromium a plus de détails:
Chrome est maintenant mise à jour automatique des images servis via HTTP à partir de sites HTTPS en réécrivant les URL en HTTPS sans revenir à HTTP lorsque le contenu sécurisé n'est pas disponible. Chrome met automatiquement à niveau le contenu audio et vidéo depuis la version 80.
C'est un bon pas en avant et un bon rappel éliminer le contenu mixte sur les sites Web!
Chrome et Firefox suivent Apple sur les certificats de 398 jours
Eh bien, c'est officiel. À compter du 1er septembre, tous les logiciels Apple rejetteront (essentiellement) SSL /TLS certificats valables plus de 398 jours. L'industrie savait que cela se produirait depuis février, alors même si cela est toujours remarquable, la vraie nouvelle est que Chrome et Firefox emboîtent officiellement le pas, Mozilla se préparant à passer à 398 certificats dans son navigateur, et confirmation dans le code source de Chromium que Chrome appliquerait la même norme à partir du 1er septembre également.
Le registre a fait état du «snobbing» des certificats de 2 ans dans un article de Shaun Nichols à propos du changement:
Apple estime que cette politique garantit que les sites Web et les applications actualisent leurs certificats une fois par an, les encourageant ainsi à utiliser les dernières normes cryptographiques, et garantit que les certificats volés ne peuvent pas être utilisés pour des campagnes de phishing de longue durée et d'autres manigances car ils expireront assez tôt.
… Il suffit de dire que les vendeurs de certificats étaient irrités par le changement. "La décision unilatérale d'Apple, contre les résultats du scrutin, rend le forum CA / B un peu inutile, de notre point de vue", a reniflé le cert biz espagnol Firmaprofesional.
Tous les signes indiquent que tout le monde suit l'exemple d'Apple pour raccourcir la durée de vie des certificats. Pour le moment, Microsoft n'a pas encore annoncé ce qu'il fera, mais il est facile d'en tirer des conclusions, étant donné que le navigateur Edge de l'entreprise utilise Chrome comme moteur.
Microsoft impose la dépréciation de TLS 1.0 et 1.1 pour Office 365
Après un retard lié à la pandémie, Microsoft va officiellement commencer à appliquer l'amortissement des TLS Protocoles 1.0 et 1.1 - connus pour leur non-sécurité - dans Office 365. Les protocoles étaient en fait obsolètes à compter du 31 octobre 2018. Et, selon Microsoft, l'application a été réinitialisée et devrait être opérationnelle le 15 octobre , 2020.
Honnêtement, cela n'aura pas d'impact sur trop d'utilisateurs car le client Office est capable d'utiliser TLS 1.2 si pris en charge par l'ordinateur local. Cependant, il peut être intéressant de noter que TLS 1.2 n'est pas disponible sur Windows 7 sans le Mise à jour KB 3140245. Ceux qui recherchent un aperçu technique du changement peuvent se diriger vers le Microsoft Blog, ce qui explique tout.