Rassegna sulla sicurezza di aprile 2020

Benvenuti a questa edizione di aprile del riepilogo sulla sicurezza di SSL.com! Molti di noi sono stati rinchiusi all'interno dello scorso mese, ma la vita online sta ancora andando forte, il che significa che abbiamo molto da arrotondare quando si tratta di sicurezza digitale. Questo mese daremo un'occhiata a:

Microsoft posticipa TLS 1.0 e 1.1 Deprecazione

Sebbene Microsoft avesse pianificato di disabilitare Transport Layer Security (TLS) versioni 1.0 e 1.1 qualche volta questa primavera, l'azienda ha annunciato che "alla luce degli eventi attuali" quel piano sarà ora rinviato alla fine dell'anno.

Sebbene possa sembrare una comoda scusa per non agire, rapporti di ghacks.net che un impegno diffuso tra i browser per disabilitare i protocolli di sicurezza, in effetti, è diventato un problema durante la pandemia. Loro scrivono:

Alcuni, come Mozilla, sono andati avanti con il cambiamento ma lo hanno ripristinato quando è diventato chiaro che alcuni siti governativi facevano ancora affidamento su questi protocolli. Gli utenti di Firefox non potevano più accedere a questi siti a causa dei protocolli disabilitati. Mozilla ha riabilitato i protocolli per assicurarsi che gli utenti di Firefox in tutto il mondo siano in grado di accedere a siti importanti in tempi di crisi.

In questo momento, Microsoft prevede di rilasciare una nuova versione di Microsoft Edge basata su Chromium 84r a luglio, dove TLS 1.0 e 1.1 saranno disabilitati di default. Microsoft Internet Explorer 11 e Microsoft Edge classico disabiliteranno i protocolli l'8 settembre.

Da asporto di SSL.com: Ti avvertiamo da tempo che questi protocolli sono obsoleti e insicuri, e quest'ultima ruga non cambia questo. Poiché esistono solo piani per disabilitarli per impostazione predefinita nei browser, non per rimuoverli del tutto, possono sempre essere abilitati se assolutamente necessario. Ma per favore fallo solo se è veramente necessario.

Firefox 76 Ottiene la modalità Solo HTTPS opzionale

Mozilla ha annunciato che offrirà agli utenti un Modalità solo HTTPS nella versione 76 del browser Firefox. Secondo Softpedia la funzione servirà a spingere i pochi sbandati che si aggrappano a HTTP sul sicuro HTTPS protocollo. Una volta attivati ​​nel browser, i siti HTTP non venivano più caricati. Al contrario, il browser tenterà di aggiornare la connessione a HTTPS. Se ciò non è disponibile, per ora gli utenti riceveranno un avviso "Connessione protetta non riuscita" che può essere ascoltato o ignorato.

Firefox 76 offrirà solo questa navigazione più sicura come un'opzione in questo momento - non come impostazione predefinita - quindi gli utenti dovranno optare per l'esperienza solo HTTPS.

Da asporto di SSL.com:  Se desideri configurare Firefox per utilizzare solo HTTPS, forniremo istruzioni dettagliate dopo la data di rilascio programmata, che attualmente è il 5 maggio 2020.

Certificati client semplificati in Firefox 75

In altre buone notizie su Firefox, Mozilla ha annunciato che semplificheranno l'utilizzo dei certificati client nella versione 75 del browser consentendogli di accedere all'archivio certificati del sistema operativo su Windows e macOS. Fino a questo punto, gli utenti di Firefox hanno dovuto lavorare con i certificati client nel browser caricando una libreria di terze parti per comunicare con token hardware o importando certificati e chiavi private nell'archivio certificati del browser. Questo non è il modo più sicuro per fare le cose e può anche causare problemi di stabilità.

 Ora, come Chrome e altri browser, Firefox ha sviluppato una propria libreria per interfacciarsi con l'archiviazione dei certificati del sistema operativo. Dal blog:

Invece di caricare librerie di terze parti per comunicare con token hardware, Firefox può delegare questa attività al sistema operativo. Inoltre, invece di forzare l'utente ad esportare i certificati client e reimportarli nel loro profilo Firefox, Firefox può cercare questi certificati direttamente. Oltre a proteggere le chiavi private, questo nuovo meccanismo consente a Firefox di utilizzare i certificati client con chiavi inesportabili ... Ci aspettiamo che questa funzionalità sia di grande beneficio per i nostri utenti aziendali che in precedenza hanno fatto di tutto per configurare Firefox affinché funzioni nel loro ambiente .

Da asporto di SSL.com: I certificati di autenticazione client aggiungono un ulteriore fattore di autenticazione sicura quando si accede alle applicazioni web. Siamo lieti che Mozilla stia lavorando per rendere il processo più semplice per gli utenti di Firefox e speriamo che Mozilla pianifichi un aggiornamento simile per il suo Thunderbird client di posta elettronica.

Jitsi offre un'alternativa open-source allo zoom

Zoom ha fatto molti titoli il mese scorso. Innanzitutto, tutti hanno saltato su Zoom per connettersi al lavoro, agli amici e alla famiglia da casa mentre avevano l'ordine di rimanere a casa per prevenire la diffusione del coronavirus. Quindi, tutti sono fuggiti quando si sono presentati problemi di sicurezza e sono stati elaborati. Nel frattempo, sono emerse alternative.

Jitsi Meet da 8 × 8 offre un'opzione open source per la videoconferenza che ha caratteristiche come la protezione con password. E, come note cablate, ci sono diversi vantaggi nell'avere software open source che consente modifiche da parte della comunità degli sviluppatori:

Il fatto che chiunque possa modificare e condividere il codice di Jitsi significa che altri possono incorporare lo strumento nel proprio software. WeSchool l'ha fatto. Così ha fatto il servizio software di chat open source Sommossa, che utilizza Jitsi per il suo componente di chat video. Ivov afferma che l'8 × 8 beneficia di questo tipo di progetti perché testano le prestazioni del codice di Jitsi su dispositivi diversi e in ambienti diversi. Ciò aiuta il team di sviluppo principale di Jitsi a migliorare il software sia per gli utenti open source che per i clienti 8 × 8 a pagamento.

In questo momento, Jitsi offre solo la crittografia end-to-end per le chiamate one-to-one, non le conferenze di più di due persone (che richiedono l'uso di un server centralizzato che deve decrittografare i dati) / Tuttavia, stanno funzionando sull'espansione della crittografia end-to-end a quelle chiamate più grandi.

Da asporto di SSL.com:  SSL.com supporta la crittografia end-to-end per le videochiamate e lo sviluppo di strumenti open source sicuri e privati ​​per quello che è diventato un servizio essenziale. Poiché la videoconferenza è diventata uno strumento di comunicazione cruciale in tutte le nostre vite, seguiremo da vicino lo sviluppo di Jitsi.
Grazie per aver scelto SSL.com! In caso di domande, contattaci tramite e-mail all'indirizzo Support@SSL.com, chiama 1-877-SSL-SECUREoppure fai clic sul link della chat in basso a destra in questa pagina. Puoi anche trovare risposte a molte domande comuni di supporto nel nostro base di conoscenza.


Iscriviti alla Newsletter di SSL.com

Non perdere nuovi articoli e aggiornamenti da SSL.com

Ci piacerebbe il tuo feedback

Partecipa al nostro sondaggio e facci sapere cosa ne pensi del tuo recente acquisto.