Riassunto della sicurezza di febbraio 2020

Benvenuti a questa edizione di febbraio del riepilogo sulla sicurezza di SSL.com. Potrebbe essere il nostro mese più breve, ma era ancora pieno di sviluppi in SSL /TLS, certificati digitali e sicurezza della rete. Questo mese tratteremo:

Apple pone un nuovo limite di tempo per i certificati

Come abbiamo già riferito, Apple ha recentemente scelto di limitare SSL /TLS durata del certificato a poco più di un anno. Al Forum CA / Browser (CA / B) di febbraio a Bratislava, in Slovacchia, Apple ha annunciato che, dal 1 ° settembre 2020, i loro dispositivi e il browser Safari non avrebbero più accettato certificati con una durata superiore a 398 giorni. Non ci sono ancora stati annunci scritti ufficiali da parte di Apple. (Aggiornare: Apple ha annunciato la modifica della politica sul suo sito Web il 3 marzo 2020.) As Il registro note:

La riduzione della durata dei certificati è stata rimuginata per mesi da Apple, Google e altri membri di CA / Browser. La politica ha i suoi vantaggi e svantaggi ... Lo scopo della mossa è migliorare la sicurezza del sito web assicurandosi che gli sviluppatori utilizzino i certificati con i più recenti standard crittografici e per ridurre il numero di vecchi certificati trascurati che potrebbero essere potenzialmente rubati e riutilizzati per attacchi di phishing e malware drive-by. Se boffins o miscredenti sono in grado di violare la crittografia in un SSL /TLS certificati standard di breve durata assicureranno che le persone migrino verso certificati più sicuri entro circa un anno.

Che un cambiamento così significativo stia accadendo in questo modo è in qualche modo sorprendente, ma il cambiamento stesso non lo è. Durata del certificato più breve, come notato da Il registro, sono qualcosa che l'industria ha preso seriamente in considerazione di recente. Un voto del forum CA / B di settembre avrebbe potuto modificare il periodo di validità massima dei certificati rispetto all'attuale standard di 825 giorni di un anno, ma quel voto fallì. Questa volta non ci è voluto un voto: un'azienda così influente come Apple può cambiare lo standard da sola.

Da asporto di SSL.com: Sebbene ridurre la durata dei certificati sia stato un punto di conversazione, non vi è ancora stata una mossa di consenso per farlo in tutto il settore. Questa mossa di Apple potrebbe probabilmente forzare quel consenso e cambiare lo standard. Non è chiaro quale effetto a catena avrà il dimezzamento, ma sembra che lo scopriremo tutti!

DNS su HTTPS Ora Firefox Predefinito

Questo mese, set Mozilla DNS su HTTPS (DoH) come impostazione predefinita per gli utenti statunitensi del proprio browser Firefox. Per coloro che non conoscono il concetto: DoH crittografa le informazioni DNS generalmente non crittografate (anche su siti Web sicuri) e impedisce ad altri di vedere quali siti Web visitano le persone. Per alcune entità a cui piace raccogliere dati sugli utenti (come il governo o coloro che sperano di trarre profitto dalla vendita di tali dati) si tratta di cattive notizie. E alcuni sostengono anche che la maggiore opacità impedisce lo spionaggio utile che tiene traccia dei criminali e consente il controllo dei genitori durante la navigazione. Altri, come Mozilla (chiaramente) e il Electronic Frontier Foundation sottolinea i vantaggi del DoH, sottolineando che la crittografia del traffico web migliora la privacy del pubblico e ostacola i tentativi di rintracciare e censurare le persone da parte del governo. Firefox di Mozilla è il primo browser ad adottare lo standard per impostazione predefinita.

Da asporto di SSL.com: Come sostenitori della privacy e della crittografia più solida, questa modifica di Mozilla ci sembra una cosa in gran parte positiva a cui si opporranno sicuramente le persone che traggono profitto dalla raccolta e dalla vendita di dati raccolti su ignari utenti di Internet.

Firefox e Slack ce l'hanno fatta TLS 1.0 e 1.1

In una mossa inequivocabile per sbarazzarsi di TLS 1.0 e 1.1 interamente, Mozilla ora richiede una sostituzione manuale da parte degli utenti che tentano di connettersi ai siti Web utilizzando i protocolli. Il cambiamento è un passo verso l'obiettivo dichiarato di bloccare completamente tali siti. Come La Verge rapporti, il cambiamento indica a cosa servono “veramente i tempi finali” TLS e 1.0 e 1.1 e Mozilla si unirà ad altri nel prossimo futuro:

Il supporto completo verrà rimosso da Safari negli aggiornamenti di Apple iOS e macOS a partire da marzo 2020. " Google ha detto che rimuoverà il supporto per TLS 1.0 e 1.1 in Chrome 81 (previsto per il 17 marzo). Microsoft disse farebbe lo stesso "nella prima metà del 2020".

Mozilla non è l'unico grande fornitore di software a cui si sta allontanando tutti TLS 1.0 e 1.1. Questo mese, Slack terminato il supporto anche per loro; la società afferma che stanno apportando il cambiamento "per allinearsi alle migliori pratiche del settore per la sicurezza e l'integrità dei dati".

Da asporto di SSL.com: Il messaggio qui è piuttosto semplice. Smetti di usare TLS 1.0 e 1.1 sui tuoi siti Web e assicurati di mantenere aggiornati i browser.

Chrome per bloccare download non sicuri

Di recente, i browser hanno deciso di avvisare gli utenti contenuto misto. Il contenuto misto si verifica quando i siti Web si collegano a contenuti HTTP non sicuri (come immagini e download) da pagine HTTPS, "mescolando" i due protocolli in un modo che non è ovvio per gli utenti senza un avviso (abbiamo esaminato il concetto più a fondo in questo articolo). Ora Chrome sta facendo un ulteriore passo avanti e bloccherà il download di contenuti misti. Come la Tech volte rapporti:

A partire da Chrome 82, il cui rilascio è previsto ad aprile, Chrome avviserà gli utenti se stanno per scaricare eseguibili con contenuto misto da un sito web stabile ... Quindi, quando viene rilasciata la versione 83, i download eseguibili potrebbero essere bloccati e l'avvertenza può essere implementato per archiviare i file. I file PDF e .Doc riceveranno l'avviso in Chrome 84, con file audio, immagini, testo e video che lo mostrano con l'aiuto dell'85a versione. Infine, tutti i download di contenuti misti, un file non stabile proveniente da un sito stabile, potrebbero essere bloccati a partire dallo scarico di Chrome 86.

Ecco un utile grafico di Google che mostra la loro sequenza temporale di avviso / blocco per diversi tipi di contenuti misti:

Programma per il blocco di contenuti misti in Chrome

Da asporto di SSL.com: Se hai un sito che serve risorse HTTP dalle pagine HTTPS, taglialo! Potrebbe bloccarti.
Grazie per aver scelto SSL.com! In caso di domande, contattaci tramite e-mail all'indirizzo Support@SSL.com, chiama 1-877-SSL-SECUREo fai semplicemente clic sul link della chat in basso a destra in questa pagina.


Iscriviti alla Newsletter di SSL.com

Non perdere nuovi articoli e aggiornamenti da SSL.com

Ci piacerebbe il tuo feedback

Partecipa al nostro sondaggio e facci sapere cosa ne pensi del tuo recente acquisto.