SSL.com의 XNUMX 월호 보안 요약에 오신 것을 환영합니다. 가장 짧은 달 일지 모르지만 여전히 SSL / 개발로 가득 차있었습니다.TLS, 디지털 인증서 및 네트워크 보안. 이번 달에는 다음 내용을 다룹니다.
- Apple 제한 SSL /TLS XNUMX 년이 조금 넘는 인증서
- 이제 HTTPS를 통한 DNS가 Firefox 기본값
- 벽에 더 많은 글쓰기 TLS 1.0 및 1.1
- Chrome은 안전하지 않은 다운로드를 차단합니다
Apple, 인증서에 새로운 시간 제한을 두다
이미보고했듯이, Apple은 최근 SSL /TLS 인증서 수명은 1 년이 조금 넘습니다. 슬로바키아 브라 티 슬라바에서 열린 2020 월 CA / 브라우저 (CA / B) 포럼에서 Apple은 398 년 XNUMX 월 XNUMX 일부로 해당 기기와 Safari 브라우저가 수명이 XNUMX 일을 초과하는 인증서를 더 이상 수락하지 않을 것이라고 발표했습니다. 아직까지 Apple에서 공식적인 서면 발표가 없습니다. (업데이트 : Apple 발표 3 년 2020 월 XNUMX 일 웹 사이트의 정책 변경.) 등록 노트:
인증서 수명 단축은 수개월 동안 Apple, Google 및 기타 CA / Browser 구성원에 의해 고민되었습니다. 이 정책에는 장점과 단점이 있습니다 ... 이전의 목표는 개발자가 최신 암호화 표준이 적용된 인증서를 사용하도록하여 웹 사이트 보안을 개선하고 잠재적으로 도난 당하고 재사용 할 수있는 오래되고 무시되는 인증서의 수를 줄이는 것입니다. 피싱 및 드라이브 바이 멀웨어 공격. boffins 또는 miscreant가 SSL /에서 암호화를 깰 수있는 경우TLS 표준 단기 인증서는 사람들이 약 XNUMX 년 이내에 더 안전한 인증서로 마이그레이션하도록 보장합니다.
이러한 중대한 변화가 이런 방식으로 일어나고 있다는 것은 다소 놀라운 일이지만 변화 자체는 그렇지 않습니다. 다음과 같이 인증서 수명 단축 등록업계가 최근에 진지하게 고려해 왔던 것입니다. 825 월 CA / B 포럼 투표로 인해 인증서의 최대 유효 기간이 현재 XNUMX 일 표준 XNUMX 년에서 변경되었을 수 있습니다. 그러나 그 투표는 실패했다. 이번에는 투표권을 얻지 못했습니다. Apple이 표준을 스스로 바꿀 수있는만큼 영향력있는 회사입니다.
HTTPS를 통한 DNS 이제 Firefox 기본값
이번 달에 Mozilla는 HTTPS를 통한 DNS (DoH) 기본값 Firefox 브라우저의 미국 사용자. 개념에 익숙하지 않은 사용자의 경우 : DoH는 일반적으로 암호화되지 않은 (보안 웹 사이트에서도) DNS 정보를 암호화하여 다른 사람들이 방문하는 웹 사이트를 보지 못하게합니다. 사용자 (예 : 정부 또는 해당 데이터를 판매하여 이익을 얻고 자하는 사용자)에 대한 데이터를 수집하려는 일부 개체의 경우 나쁜 소식입니다. 또한 일부는 불투명도가 증가하면 범죄자를 추적하고 브라우징에 대한 보호자 통제를 허용하는 유용한 스파이를 방지한다고 주장합니다. 모질라와 같은 다른 사람들 전자 프론티어 재단 DoH의 이점을 선전하면서 웹 트래픽을 암호화하면 대중의 프라이버시가 향상되고 정부가 사람들을 추적하고 검열하려는 시도를 막을 수 있다고 강조합니다. Mozilla의 Firefox는 기본적으로 표준을 채택한 최초의 브라우저입니다.
Firefox와 Slack은 TLS 1.0 및 1.1
제거하기위한 명확한 움직임으로 TLS 1.0 및 1.1 전체, Mozilla 지금 필요합니다 프로토콜을 사용하여 웹 사이트에 연결하려는 사용자의 수동 재정의 이러한 변경은 그러한 사이트를 완전히 차단한다는 선언 된 목표를 향한 단계입니다. 같이 직전 보고서, 변화는 "진정한 끝 시간"을 의미합니다. TLS 그리고 1.0과 1.1, 그리고 Mozilla는 가까운 장래에 다른 사람들과 합류 할 것입니다 :
2020 년 XNUMX 월부터 Apple iOS 및 macOS 업데이트의 Safari에서 완전한 지원이 제거됩니다. ' Google은 다음에 대한 지원을 제거 할 것이라고 말했습니다. TLS Chrome 1.0의 1.1 및 81 (17 월 XNUMX 일 예정). 마이크로 소프트 말했다 그것은 '2020 년 상반기에도'똑같이 할 것입니다.
Mozilla는 모든 사람을 멀어지게하는 유일한 주요 소프트웨어 공급 업체가 아닙니다. TLS 1.0 및 1.1. 이번 달, 슬랙 그들에 대한 지원도 종료; 이 회사는 "보안 및 데이터 무결성을위한 업계 모범 사례에 맞게 변경"하고 있다고 말합니다.
안전하지 않은 다운로드를 차단하는 Chrome
최근 브라우저는 사용자에게 다음과 같이 경고합니다. 혼합 된 내용. 혼합 콘텐츠는 웹 사이트가 HTTPS 페이지에서 안전하지 않은 HTTP 콘텐츠 (예 : 이미지 및 다운로드)에 연결하여 경고없이 사용자에게 분명하지 않은 방식으로 두 프로토콜을 "혼합"할 때 발생합니다 (개념을 더 깊이 조사했습니다). 이 기사에서). 이제 Chrome은 한 단계 더 발전하여 혼합 콘텐츠가 다운로드되는 것을 차단할 것입니다. 로 테크 타임즈 보고서:
Chrome 82부터 83 월 출시 예정인 Chrome은 안정적인 웹 사이트에서 혼합 콘텐츠 실행 파일을 다운로드하려고 할 때 사용자에게 경고를 표시합니다. 그런 다음 버전 84이 출시되면 실행 가능한 다운로드가 차단 될 수 있으며주의 할 수 있습니다. 아카이브 파일로 구현됩니다. PDF 및 .Doc 파일은 85 번째 버전의 도움으로 표시되는 오디오, 이미지, 텍스트 및 비디오 파일과 함께 Chrome 86에서 경고를받습니다. 마지막으로, 모든 혼합 콘텐츠 다운로드 (안정적인 사이트에서 오는 불안정한 파일)는 Chrome XNUMX이 종료 될 때 차단 될 수 있습니다.
다음은 다양한 유형의 혼합 콘텐츠에 대한 경고 / 차단 타임 라인을 보여주는 Google의 편리한 차트입니다.
