Üdvözöljük az SSL.com Security Roundup februári kiadásában. Lehet, hogy ez a legrövidebb hónapunk, de még mindig tele volt az SSL /TLS, digitális tanúsítványok és hálózati biztonság. Ebben a hónapban a következőket fedjük le:
- Az Apple korlátozza az SSL-t /TLS Alig több mint egy évre szóló tanúsítványok
- A HTTPS feletti DNS mostantól Firefox alapértelmezés
- További írás a falon TLS 1.0 és 1.1
- A Chrome blokkolja a nem biztonságos letöltéseket
Az Apple új határidőt ír elő a tanúsítványokra
Mint már beszámoltunk, Az Apple nemrégiben az SSL /TLS a tanúsítványok élettartama alig több mint egy év. A szlovákiai Pozsonyban, a februári CA / Böngésző (CA / B) fórumon az Apple bejelentette, hogy 1. szeptember 2020-jétől készülékeik és a Safari böngészője már nem fogadja el a 398 napot meghaladó élettartamú tanúsítványokat. Az Apple eddig nem tett hivatalos, írásbeli bejelentést. (Frissítés: Apple bejelentés a politikai változás weboldalán, 3. március 2020-án.) As A regisztráció megjegyzi,:
A tanúsítványok élettartamának csökkentését az Apple, a Google és a CA / Browser más tagjai hónapok óta gondolták. A házirendnek megvannak az előnyei és hátrányai ... A lépés célja a webhelyek biztonságának javítása azáltal, hogy a fejlesztők a legújabb kriptográfiai szabványoknak megfelelő tanúsítványokat használnak, és csökkentik a régi, elhanyagolt tanúsítványok számát, amelyeket ellophatnak és újból felhasználhatnak adathalászat és meghajtó által indított rosszindulatú programok. Ha boffins vagy rosszindulatúak képesek megszakítani a titkosítást SSL-ben /TLS A szokásos, rövid élettartamú tanúsítványok biztosítják, hogy az emberek körülbelül egy éven belül biztonságosabb sertésekre vándoroljanak.
Valahogy meglepő, hogy egy ilyen jelentős változás ilyen módon történik, de maga a váltás nem. Rövidebb a tanúsítvány élettartama, amint azt a A regisztráció, az iparág a közelmúltban komolyan mérlegeli. A szeptemberi CA / B fórum szavazása megváltoztathatta a tanúsítványok maximális érvényességi idejét a jelenlegi 825 napos szabványhoz képest, de ez a szavazás nem sikerült. Ezúttal nem került sor a szavazásra - olyan befolyásos vállalat, mint az Apple, önmagában válthatja át a szabványt.
DNS a HTTPS-n keresztül Most Firefox alapértelmezett
Ebben a hónapban a Mozilla beállt DNS HTTPS-en keresztül (DoH) alapértelmezésként az Egyesült Államok Firefox böngészőjének felhasználói számára. Azok számára, akik új fogalommal rendelkeznek: a DoH általában nem titkosított DNS-információkat (még a biztonságos webhelyeken is) titkosít, és megakadályozza mások számára, hogy látják, milyen webhelyeket látogatnak az emberek. Egyes szervezetek számára, amelyek szeretnének adatokat gyűjteni a felhasználókról (például a kormány, vagy azok számára, akik remélik, hogy profitálnak az említett adatok eladásáról), ez rossz hír. Néhányan azt állítják, hogy a megnövekedett átlátszóság megakadályozza a bűnözőket nyomon követő hasznos kémkedést, és lehetővé teszi a szülői ellenőrzést a böngészés során. Mások, mint például a Mozilla (egyértelműen) és a Electronic Frontier Foundation hangsúlyozza a DoH előnyeit, hangsúlyozva, hogy az internetes forgalom titkosítása javítja a nyilvánosság magánéletét, és megakadályozza a kormány által az emberek nyomon követését és cenzúráját. A Mozilla Firefox az első böngésző, amely alapértelmezés szerint elfogadja a szabványt.
A Firefox és a Slack megkapta TLS 1.0 és 1.1
Egyértelmű mozdulattal megszabadulni TLS 1.0 és 1.1 teljes egészében, Mozilla most megköveteli kézi felülbírálás azon felhasználók számára, akik a protokollokkal próbálnak webhelyhez kapcsolódni. A változás egy lépés annak érdekében, hogy kinyilvánítják az ilyen webhelyek teljes blokkolását. Mint The Verge jelentések, a változás azt jelenti, hogy mi az „valóban a végpont” TLS és 1.0 és 1.1, és a Mozillával a közeljövőben mások is csatlakoznak:
2020 márciusától kezdve az Apple iOS és a MacOS frissítéseiben a teljes támogatás eltávolításra kerül a Safari programból. ” A Google azt mondta, hogy megszünteti a (z) TLS 1.0 és 1.1 a Chrome 81-ben (várhatóan március 17-én). Microsoft mondott ugyanezt tenné „2020 első felében”.
A Mozilla nem az egyetlen nagy szoftvergyártó, amely mindenkit távol tart TLS 1.0 és 1.1. Ebben a hónapban, Slack véget ért nekik is; A vállalat szerint a változást „a biztonság és az adatok integritásának az ipari bevált gyakorlatokhoz való igazítása érdekében” hajtják végre.
A Chrome blokkolja a nem biztonságos letöltéseket
A közelmúltban a böngészők arra törekedtek, hogy figyelmeztessék a felhasználókat kevert tartalom. Vegyes tartalom akkor fordul elő, amikor a webhelyek nem biztonságos HTTP-tartalomra (például képek és letöltések) hivatkoznak a HTTPS-oldalakról, a két protokollt úgy keverik össze, hogy figyelmeztetés nélkül a felhasználók számára nem nyilvánvaló (mélyebben megvizsgáltuk a koncepciót) ebben a cikkben). A Chrome most egy lépéssel előrelép, és blokkolja a vegyes tartalmak letöltését. Mivel a tech Times jelentések:
A Chrome 82-től kezdődően, áprilisban jelenik meg, a Windows figyelmeztetni fogja a felhasználókat, ha vegyes tartalmú futtatható fájlokat akarnak letölteni egy stabil webhelyről. Ezután a 83-as verzió megjelenésekor a futtatható letöltések blokkolhatók, és az óvatosság fájlok archiválásához. A PDF-fájlok és a .Doc fájlok figyelmeztetést kapnak a Chrome 84-ben, audio-, kép-, szöveg- és videofájlokkal a 85. verzió segítségével. Végül az összes vegyes tartalmú letöltést - egy stabil webhelyről származó, nem stabil fájlt - blokkolhatjuk a Chrome 86 ürítésével.
Íme egy praktikus diagram a Google-tól, amely megmutatja figyelmeztető / blokkoló ütemtervüket a különféle vegyes tartalmak számára: