Benvenuti a questa edizione di febbraio del riepilogo sulla sicurezza di SSL.com. Potrebbe essere il nostro mese più breve, ma era ancora pieno di sviluppi in SSL /TLS, certificati digitali e sicurezza della rete. Questo mese tratteremo:
- Apple limita SSL /TLS Certificati per poco più di un anno
- DNS su HTTPS ora è un predefinito di Firefox
- Altre scritte sul muro per TLS 1.0 e 1.1
- Chrome bloccherà i download non sicuri
Apple pone un nuovo limite di tempo per i certificati
Come abbiamo già riferito, Apple ha recentemente scelto di limitare SSL /TLS durata del certificato a poco più di un anno. Al Forum CA / Browser (CA / B) di febbraio a Bratislava, in Slovacchia, Apple ha annunciato che, dal 1 ° settembre 2020, i loro dispositivi e il browser Safari non avrebbero più accettato certificati con una durata superiore a 398 giorni. Non ci sono ancora stati annunci scritti ufficiali da parte di Apple. (Aggiornare: Apple ha annunciato la modifica della politica sul suo sito Web il 3 marzo 2020.) As Il registro note:
La riduzione della durata dei certificati è stata rimuginata per mesi da Apple, Google e altri membri di CA / Browser. La politica ha i suoi vantaggi e svantaggi ... Lo scopo della mossa è migliorare la sicurezza del sito web assicurandosi che gli sviluppatori utilizzino i certificati con i più recenti standard crittografici e per ridurre il numero di vecchi certificati trascurati che potrebbero essere potenzialmente rubati e riutilizzati per attacchi di phishing e malware drive-by. Se boffins o miscredenti sono in grado di violare la crittografia in un SSL /TLS certificati standard di breve durata assicureranno che le persone migrino verso certificati più sicuri entro circa un anno.
Che un cambiamento così significativo stia accadendo in questo modo è in qualche modo sorprendente, ma il cambiamento stesso non lo è. Durata del certificato più breve, come notato da Il registro, sono qualcosa che l'industria ha preso seriamente in considerazione di recente. Un voto del forum CA / B di settembre avrebbe potuto modificare il periodo di validità massima dei certificati rispetto all'attuale standard di 825 giorni di un anno, ma quel voto fallì. Questa volta non ci è voluto un voto: un'azienda così influente come Apple può cambiare lo standard da sola.
DNS su HTTPS Ora Firefox Predefinito
Questo mese, set Mozilla DNS su HTTPS (DoH) come impostazione predefinita per gli utenti statunitensi del proprio browser Firefox. Per coloro che non conoscono il concetto: DoH crittografa le informazioni DNS generalmente non crittografate (anche su siti Web sicuri) e impedisce ad altri di vedere quali siti Web visitano le persone. Per alcune entità a cui piace raccogliere dati sugli utenti (come il governo o coloro che sperano di trarre profitto dalla vendita di tali dati) si tratta di cattive notizie. E alcuni sostengono anche che la maggiore opacità impedisce lo spionaggio utile che tiene traccia dei criminali e consente il controllo dei genitori durante la navigazione. Altri, come Mozilla (chiaramente) e il Electronic Frontier Foundation sottolinea i vantaggi del DoH, sottolineando che la crittografia del traffico web migliora la privacy del pubblico e ostacola i tentativi di rintracciare e censurare le persone da parte del governo. Firefox di Mozilla è il primo browser ad adottare lo standard per impostazione predefinita.
Firefox e Slack ce l'hanno fatta TLS 1.0 e 1.1
In una mossa inequivocabile per sbarazzarsi di TLS 1.0 e 1.1 interamente, Mozilla ora richiede una sostituzione manuale da parte degli utenti che tentano di connettersi ai siti Web utilizzando i protocolli. Il cambiamento è un passo verso l'obiettivo dichiarato di bloccare completamente tali siti. Come La Verge rapporti, il cambiamento indica a cosa servono “veramente i tempi finali” TLS e 1.0 e 1.1 e Mozilla si unirà ad altri nel prossimo futuro:
Il supporto completo verrà rimosso da Safari negli aggiornamenti di Apple iOS e macOS a partire da marzo 2020. " Google ha detto che rimuoverà il supporto per TLS 1.0 e 1.1 in Chrome 81 (previsto per il 17 marzo). Microsoft disse farebbe lo stesso "nella prima metà del 2020".
Mozilla non è l'unico grande fornitore di software a cui si sta allontanando tutti TLS 1.0 e 1.1. Questo mese, Slack terminato il supporto anche per loro; la società afferma che stanno apportando il cambiamento "per allinearsi alle migliori pratiche del settore per la sicurezza e l'integrità dei dati".
Chrome per bloccare download non sicuri
Di recente, i browser hanno deciso di avvisare gli utenti contenuto misto. Il contenuto misto si verifica quando i siti Web si collegano a contenuti HTTP non sicuri (come immagini e download) da pagine HTTPS, "mescolando" i due protocolli in un modo che non è ovvio per gli utenti senza un avviso (abbiamo esaminato il concetto più a fondo in questo articolo). Ora Chrome sta facendo un ulteriore passo avanti e bloccherà il download di contenuti misti. Come la Tech volte rapporti:
A partire da Chrome 82, il cui rilascio è previsto ad aprile, Chrome avviserà gli utenti se stanno per scaricare eseguibili con contenuto misto da un sito web stabile ... Quindi, quando viene rilasciata la versione 83, i download eseguibili potrebbero essere bloccati e l'avvertenza può essere implementato per archiviare i file. I file PDF e .Doc riceveranno l'avviso in Chrome 84, con file audio, immagini, testo e video che lo mostrano con l'aiuto dell'85a versione. Infine, tutti i download di contenuti misti, un file non stabile proveniente da un sito stabile, potrebbero essere bloccati a partire dallo scarico di Chrome 86.
Ecco un utile grafico di Google che mostra la loro sequenza temporale di avviso / blocco per diversi tipi di contenuti misti: