2020. február Biztonsági Roundup

Üdvözöljük az SSL.com Security Roundup februári kiadásában. Lehet, hogy ez a legrövidebb hónapunk, de még mindig tele volt az SSL /TLS, digitális tanúsítványok és hálózati biztonság. Ebben a hónapban a következőket fedjük le:

Az Apple új határidőt ír elő a tanúsítványokra

Mint már beszámoltunk, Az Apple nemrégiben az SSL /TLS a tanúsítványok élettartama alig több mint egy év. A szlovákiai Pozsonyban, a februári CA / Böngésző (CA / B) fórumon az Apple bejelentette, hogy 1. szeptember 2020-jétől készülékeik és a Safari böngészője már nem fogadja el a 398 napot meghaladó élettartamú tanúsítványokat. Az Apple eddig nem tett hivatalos, írásbeli bejelentést. (Frissítés: Apple bejelentés a politikai változás weboldalán, 3. március 2020-án.) As A regisztráció megjegyzi,:

A tanúsítványok élettartamának csökkentését az Apple, a Google és a CA / Browser más tagjai hónapok óta gondolták. A házirendnek megvannak az előnyei és hátrányai ... A lépés célja a webhelyek biztonságának javítása azáltal, hogy a fejlesztők a legújabb kriptográfiai szabványoknak megfelelő tanúsítványokat használnak, és csökkentik a régi, elhanyagolt tanúsítványok számát, amelyeket ellophatnak és újból felhasználhatnak adathalászat és meghajtó által indított rosszindulatú programok. Ha boffins vagy rosszindulatúak képesek megszakítani a titkosítást SSL-ben /TLS A szokásos, rövid élettartamú tanúsítványok biztosítják, hogy az emberek körülbelül egy éven belül biztonságosabb sertésekre vándoroljanak.

Valahogy meglepő, hogy egy ilyen jelentős változás ilyen módon történik, de maga a váltás nem. Rövidebb a tanúsítvány élettartama, amint azt a A regisztráció, az iparág a közelmúltban komolyan mérlegeli. A szeptemberi CA / B fórum szavazása megváltoztathatta a tanúsítványok maximális érvényességi idejét a jelenlegi 825 napos szabványhoz képest, de ez a szavazás nem sikerült. Ezúttal nem került sor a szavazásra - olyan befolyásos vállalat, mint az Apple, önmagában válthatja át a szabványt.

Az SSL.com elvitele: Noha a bizonyítványok élettartamának csökkentése párbeszédpont volt, az iparágban még nem történt konszenzus a lépésről. Az Apple ilyen lépése valószínűleg kényszeríti ezt a konszenzust és megváltoztathatja a szabványt. Nem egyértelmű, hogy milyen hullámzó hatással lesz a felére, de úgy tűnik, hogy mindannyian megtudjuk!

DNS a HTTPS-n keresztül Most Firefox alapértelmezett

Ebben a hónapban a Mozilla beállt DNS HTTPS-en keresztül (DoH) alapértelmezésként az Egyesült Államok Firefox böngészőjének felhasználói számára. Azok számára, akik új fogalommal rendelkeznek: a DoH általában nem titkosított DNS-információkat (még a biztonságos webhelyeken is) titkosít, és megakadályozza mások számára, hogy látják, milyen webhelyeket látogatnak az emberek. Egyes szervezetek számára, amelyek szeretnének adatokat gyűjteni a felhasználókról (például a kormány, vagy azok számára, akik remélik, hogy profitálnak az említett adatok eladásáról), ez rossz hír. Néhányan azt állítják, hogy a megnövekedett átlátszóság megakadályozza a bűnözőket nyomon követő hasznos kémkedést, és lehetővé teszi a szülői ellenőrzést a böngészés során. Mások, mint például a Mozilla (egyértelműen) és a Electronic Frontier Foundation hangsúlyozza a DoH előnyeit, hangsúlyozva, hogy az internetes forgalom titkosítása javítja a nyilvánosság magánéletét, és megakadályozza a kormány által az emberek nyomon követését és cenzúráját. A Mozilla Firefox az első böngésző, amely alapértelmezés szerint elfogadja a szabványt.

Az SSL.com elvitele: Mivel a magánélet és az erőteljesebb titkosítás támogatói, a Mozilla által ez a változás nagyrészt pozitív dolognak számít bennünk, amelyet minden bizonnyal szembe kell néznie azokkal az emberekkel, akik profitálnak a gyanútlan internetes felhasználókkal összegyűjtött adatok gyűjtéséből és értékesítéséből.

A Firefox és a Slack megkapta TLS 1.0 és 1.1

Egyértelmű mozdulattal megszabadulni TLS 1.0 és 1.1 teljes egészében, Mozilla most megköveteli kézi felülbírálás azon felhasználók számára, akik a protokollokkal próbálnak webhelyhez kapcsolódni. A változás egy lépés annak érdekében, hogy kinyilvánítják az ilyen webhelyek teljes blokkolását. Mint The Verge jelentések, a változás azt jelenti, hogy mi az „valóban a végpont” TLS és 1.0 és 1.1, és a Mozillával a közeljövőben mások is csatlakoznak:

2020 márciusától kezdve az Apple iOS és a MacOS frissítéseiben a teljes támogatás eltávolításra kerül a Safari programból. ” A Google azt mondta, hogy megszünteti a (z) TLS 1.0 és 1.1 a Chrome 81-ben (várhatóan március 17-én). Microsoft mondott ugyanezt tenné „2020 első felében”.

A Mozilla nem az egyetlen nagy szoftvergyártó, amely mindenkit távol tart TLS 1.0 és 1.1. Ebben a hónapban, Slack véget ért nekik is; A vállalat szerint a változást „a biztonság és az adatok integritásának az ipari bevált gyakorlatokhoz való igazítása érdekében” hajtják végre.

Az SSL.com elvitele: Az itteni üzenet meglehetősen egyértelmű. Ne használja TLS 1.0 és 1.1 az Ön webhelyén, és mindenképpen frissítse böngészőit.

A Chrome blokkolja a nem biztonságos letöltéseket

A közelmúltban a böngészők arra törekedtek, hogy figyelmeztessék a felhasználókat kevert tartalom. Vegyes tartalom akkor fordul elő, amikor a webhelyek nem biztonságos HTTP-tartalomra (például képek és letöltések) hivatkoznak a HTTPS-oldalakról, a két protokollt úgy keverik össze, hogy figyelmeztetés nélkül a felhasználók számára nem nyilvánvaló (mélyebben megvizsgáltuk a koncepciót) ebben a cikkben). A Chrome most egy lépéssel előrelép, és blokkolja a vegyes tartalmak letöltését. Mivel a tech Times jelentések:

A Chrome 82-től kezdődően, áprilisban jelenik meg, a Windows figyelmeztetni fogja a felhasználókat, ha vegyes tartalmú futtatható fájlokat akarnak letölteni egy stabil webhelyről. Ezután a 83-as verzió megjelenésekor a futtatható letöltések blokkolhatók, és az óvatosság fájlok archiválásához. A PDF-fájlok és a .Doc fájlok figyelmeztetést kapnak a Chrome 84-ben, audio-, kép-, szöveg- és videofájlokkal a 85. verzió segítségével. Végül az összes vegyes tartalmú letöltést - egy stabil webhelyről származó, nem stabil fájlt - blokkolhatjuk a Chrome 86 ürítésével.

Íme egy praktikus diagram a Google-tól, amely megmutatja figyelmeztető / blokkoló ütemtervüket a különféle vegyes tartalmak számára:

Ütemezés a vegyes tartalmak letiltására a Chrome-ban

Az SSL.com elvitele: Ha van olyan webhely, amely a HTTPS-oldalak HTTP-forrásait szolgálja ki, akkor vágja ki! Lehet, hogy blokkolja.
Köszönjük, hogy az SSL.com-t választotta! Ha bármilyen kérdése van, kérjük lépjen kapcsolatba velünk e-mailben a címen Support@SSL.com, hívás 1-877-SSL-SECURE, vagy kattintson az oldal jobb alsó sarkában található csevegési linkre.


Feliratkozás az SSL.com hírlevelére

Ne hagyja ki az SSL.com új cikkeit és frissítéseit

Örülnénk a visszajelzésének

Töltse ki felmérésünket, és ossza meg velünk véleményét legutóbbi vásárlásával kapcsolatban.