Benvenuti a questa edizione di aprile del riepilogo sulla sicurezza di SSL.com! Molti di noi sono stati rinchiusi all'interno dello scorso mese, ma la vita online sta ancora andando forte, il che significa che abbiamo molto da arrotondare quando si tratta di sicurezza digitale. Questo mese daremo un'occhiata a:
- Microsoft rinvia TLS Deprecazione 1.0 e 1.0
- Modalità solo HTTPS in Firefox 76
- Accesso certificato client esteso per Firefox 75
- Un'alternativa open source a Zoom
Microsoft posticipa TLS 1.0 e 1.1 Deprecazione
Sebbene Microsoft avesse pianificato di disabilitare Transport Layer Security (TLS) versioni 1.0 e 1.1 qualche volta questa primavera, l'azienda ha annunciato che "alla luce degli eventi attuali" quel piano sarà ora rinviato alla fine dell'anno.
Sebbene possa sembrare una comoda scusa per non agire, rapporti di ghacks.net che un impegno diffuso tra i browser per disabilitare i protocolli di sicurezza, in effetti, è diventato un problema durante la pandemia. Loro scrivono:
Alcuni, come Mozilla, sono andati avanti con il cambiamento ma lo hanno ripristinato quando è diventato chiaro che alcuni siti governativi facevano ancora affidamento su questi protocolli. Gli utenti di Firefox non potevano più accedere a questi siti a causa dei protocolli disabilitati. Mozilla ha riabilitato i protocolli per assicurarsi che gli utenti di Firefox in tutto il mondo siano in grado di accedere a siti importanti in tempi di crisi.
In questo momento, Microsoft prevede di rilasciare una nuova versione di Microsoft Edge basata su Chromium 84r a luglio, dove TLS 1.0 e 1.1 saranno disabilitati di default. Microsoft Internet Explorer 11 e Microsoft Edge classico disabiliteranno i protocolli l'8 settembre.
Firefox 76 Ottiene la modalità Solo HTTPS opzionale
Mozilla ha annunciato che offrirà agli utenti un Modalità solo HTTPS nella versione 76 del browser Firefox. Secondo Softpedia la funzione servirà a spingere i pochi sbandati che si aggrappano a HTTP sul sicuro HTTPS protocollo. Una volta attivati nel browser, i siti HTTP non venivano più caricati. Al contrario, il browser tenterà di aggiornare la connessione a HTTPS. Se ciò non è disponibile, per ora gli utenti riceveranno un avviso "Connessione protetta non riuscita" che può essere ascoltato o ignorato.
Firefox 76 offrirà solo questa navigazione più sicura come un'opzione in questo momento - non come impostazione predefinita - quindi gli utenti dovranno optare per l'esperienza solo HTTPS.
Certificati client semplificati in Firefox 75
In altre buone notizie su Firefox, Mozilla ha annunciato che semplificheranno l'utilizzo dei certificati client nella versione 75 del browser consentendogli di accedere all'archivio certificati del sistema operativo su Windows e macOS. Fino a questo punto, gli utenti di Firefox hanno dovuto lavorare con i certificati client nel browser caricando una libreria di terze parti per comunicare con token hardware o importando certificati e chiavi private nell'archivio certificati del browser. Questo non è il modo più sicuro per fare le cose e può anche causare problemi di stabilità.
Ora, come Chrome e altri browser, Firefox ha sviluppato una propria libreria per interfacciarsi con l'archiviazione dei certificati del sistema operativo. Dal blog:
Invece di caricare librerie di terze parti per comunicare con token hardware, Firefox può delegare questa attività al sistema operativo. Inoltre, invece di forzare l'utente ad esportare i certificati client e reimportarli nel loro profilo Firefox, Firefox può cercare questi certificati direttamente. Oltre a proteggere le chiavi private, questo nuovo meccanismo consente a Firefox di utilizzare i certificati client con chiavi inesportabili ... Ci aspettiamo che questa funzionalità sia di grande beneficio per i nostri utenti aziendali che in precedenza hanno fatto di tutto per configurare Firefox affinché funzioni nel loro ambiente .
Jitsi offre un'alternativa open-source allo zoom
Zoom ha fatto molti titoli il mese scorso. Innanzitutto, tutti hanno saltato su Zoom per connettersi al lavoro, agli amici e alla famiglia da casa mentre avevano l'ordine di rimanere a casa per prevenire la diffusione del coronavirus. Quindi, tutti sono fuggiti quando si sono presentati problemi di sicurezza e sono stati elaborati. Nel frattempo, sono emerse alternative.
Jitsi Meet da 8 × 8 offre un'opzione open source per la videoconferenza che ha caratteristiche come la protezione con password. E, come note cablate, ci sono diversi vantaggi nell'avere software open source che consente modifiche da parte della comunità degli sviluppatori:
Il fatto che chiunque possa modificare e condividere il codice di Jitsi significa che altri possono incorporare lo strumento nel proprio software. WeSchool l'ha fatto. Così ha fatto il servizio software di chat open source Sommossa, che utilizza Jitsi per il suo componente di chat video. Ivov afferma che l'8 × 8 beneficia di questo tipo di progetti perché testano le prestazioni del codice di Jitsi su dispositivi diversi e in ambienti diversi. Ciò aiuta il team di sviluppo principale di Jitsi a migliorare il software sia per gli utenti open source che per i clienti 8 × 8 a pagamento.
In questo momento, Jitsi offre solo la crittografia end-to-end per le chiamate one-to-one, non le conferenze di più di due persone (che richiedono l'uso di un server centralizzato che deve decrittografare i dati) / Tuttavia, stanno funzionando sull'espansione della crittografia end-to-end a quelle chiamate più grandi.