SSL.comのセキュリティラウンドアップのこのXNUMX月版へようこそ。 最短の月かもしれませんが、それでもSSL /の開発でいっぱいでした。TLS、デジタル証明書、およびネットワークセキュリティ。 今月は、次の内容を取り上げます。
- AppleはSSL /を制限していますTLS XNUMX年強の証明書
- DNS over HTTPSがFirefoxのデフォルトになりました
- 壁にもっと書く TLS 1.0と1.1
- Chromeは安全でないダウンロードをブロックします
Apple、証明書に新しい時間制限を設ける
すでに報告したように、Appleは最近SSL /を制限することを選択しましたTLS 証明書の有効期間は1年強。 Appleは、スロバキアのブラチスラバで開催される2020月のCA /ブラウザ(CA / B)フォーラムで、398年XNUMX月XNUMX日以降、デバイスとSafariブラウザがXNUMX日を超える有効期間の証明書を受け入れなくなると発表しました。 アップルからの公式の書面による発表はまだありません。 (アップデート: Apple 発表の 3年2020月XNUMX日にウェブサイトでポリシーが変更されました。) 登録 ノート:
証明書の有効期間の短縮は、Apple、Google、およびCA / Browserの他のメンバーによって数か月にわたって検討されてきました。 このポリシーには長所と短所があります…この移動の目的は、開発者が最新の暗号化標準を備えた証明書を使用するようにすることでWebサイトのセキュリティを向上させ、盗まれて再利用される可能性のある古い無視された証明書の数を減らすことです。フィッシングおよびドライブバイマルウェア攻撃。 ボフィンまたは悪党がSSL /で暗号化を破ることができる場合TLS 標準の有効期間の短い証明書を使用すると、約XNUMX年以内に、より安全な証明書に移行できます。
このような大きな変化がこのように起こっていることはいくぶん驚くべきことですが、変化自体はそうではありません。 証明書の有効期間が短くなる 登録、業界が最近真剣に検討しているものです。 825月のCA / Bフォーラム投票では、証明書の最大有効期間が現在のXNUMX日間の標準であるXNUMX年から変更されている可能性があります。 しかし、その投票は失敗しました。 今回は投票に参加しなかった。Appleが独自に標準を変更できるほど影響力のある会社だ。
DNS over HTTPSがFirefoxのデフォルトになりました
今月、Mozillaセット HTTPSを介したDNS (DoH)デフォルト Firefoxブラウザの米国ユーザー向け。 概念が初めての人のために:DoHは、一般に暗号化されていない(安全なWebサイトでも)DNS情報を暗号化し、他の人が人々がアクセスしているWebサイトを見るのを防ぎます。 ユーザーに関するデータを収集することを好む一部のエンティティ(政府、または前述のデータの販売から利益を得ることを希望するエンティティ)にとっては、悪いニュースです。 また、不透明度の増加により、犯罪者を追跡し、ブラウジングのペアレンタルコントロールを可能にする有用なスパイを防止すると主張する人もいます。 その他、Mozilla(明らかに)や 電子フロンティア財団 DoHの利点を宣伝し、Webトラフィックを暗号化すると一般市民のプライバシーが向上し、政府による人々の追跡と検閲の試みが阻止されることを強調します。 MozillaのFirefoxは、デフォルトで標準を採用した最初のブラウザです。
FirefoxとSlackはそれを持っています TLS 1.0と1.1
取り除くための明確な動きで TLS 1.0および1.1完全、Mozilla 今必要です プロトコルを使用してWebサイトに接続しようとするユーザーからの手動オーバーライド。 変更は、そのようなサイトを完全にブロックするという彼らの宣言された目標に向けた一歩です。 なので ベルジェ レポート、変更は「本当に終了時間」とは何かを意味します TLS 1.0と1.1、そしてMozillaは近い将来に他の人たちに加わるでしょう:
2020年XNUMX月にApple iOSおよびmacOSへのアップデートで、完全なサポートがSafariから削除されます。 グーグルはサポートを削除すると述べた TLS Chrome 1.0の1.1および81(17月XNUMX日にリリース予定)。 マイクロソフト と それは「2020年の前半に」同じことをするでしょう。
Mozillaは、すべての人を遠ざけている主要なソフトウェアベンダーだけではありません TLS 1.0および1.1。 今月、Slack それらのサポートも終了しました; 同社は、「セキュリティとデータの整合性に関する業界のベストプラクティスに合わせて」変更を加えていると述べています。
安全でないダウンロードをブロックするChrome
最近、ブラウザはユーザーに警告する動きをしている 混合コンテンツ。 混合コンテンツは、WebサイトがHTTPSページから安全でないHTTPコンテンツ(画像やダウンロードなど)にリンクし、警告なしにユーザーに明らかでない方法でXNUMXつのプロトコルを「混合」するときに発生します(概念をより深く検討しました) この記事では)。 Chromeはさらに一歩進んでおり、混合コンテンツのダウンロードをブロックします。 として テックタイムス レポート:
82月にリリース予定のChrome83以降、Chromeは、安定したWebサイトから混合コンテンツの実行可能ファイルをダウンロードしようとするとユーザーに警告します…その後、バージョン84がリリースされると、実行可能ファイルのダウンロードがブロックされる可能性があり、注意が必要です。ファイルをアーカイブするために実装されます。 PDFと.DocファイルはChrome85で警告を受け取り、音声、画像、テキスト、およびビデオファイルが86番目のバージョンを使用して警告を表示します。 最後に、すべての混合コンテンツのダウンロード(安定したサイトからの不安定なファイル)は、ChromeXNUMXのリリース時にブロックされる可能性があります。
以下は、さまざまな種類の混合コンテンツに対する警告/ブロックのタイムラインを示す、Googleの便利なグラフです。
