Welkom bij deze aprileditie van SSL.com's Security Roundup! Velen van ons zijn de afgelopen maand opgesloten geweest, maar het online leven gaat nog steeds goed, wat betekent dat we genoeg hebben om af te ronden als het gaat om digitale beveiliging. Deze maand gaan we kijken naar:
- Microsoft stelt uit TLS Beëindiging van 1.0 en 1.0
- Alleen HTTPS-modus in Firefox 76
- Uitgebreide toegang tot clientcertificaten voor Firefox 75
- Een open-source alternatief voor Zoom
Microsoft stelt uit TLS 1.0 en 1.1 Beëindiging
Hoewel Microsoft van plan was om Transport Layer Security uit te schakelen (TLS) versies 1.0 en 1.1 ergens dit voorjaar, het bedrijf aangekondigd dat “in het licht van de actualiteit” dat plan nu wordt uitgesteld tot het einde van het jaar.
Dat klinkt misschien als een handig excuus om geen actie te ondernemen, ghacks.net rapporten dat een wijdverbreide belofte onder browsers om de beveiligingsprotocollen uit te schakelen inderdaad een probleem werd tijdens de pandemie. Zij schrijven:
Sommigen, zoals Mozilla, zijn doorgegaan met de wijziging, maar hebben deze teruggedraaid toen duidelijk werd dat sommige overheidssites nog steeds op deze protocollen vertrouwden. Gebruikers van Firefox konden deze sites niet meer openen vanwege de uitgeschakelde protocollen. Mozilla heeft de protocollen opnieuw ingeschakeld om ervoor te zorgen dat Firefox-gebruikers over de hele wereld toegang hebben tot belangrijke sites in tijden van crisis.
Op dit moment is Microsoft van plan in juli een nieuwe Chromium-gebaseerde Microsoft Edge-versie 84r uit te brengen TLS 1.0 en 1.1 zijn standaard uitgeschakeld. Microsoft Internet Explorer 11 en Classic Microsoft Edge zullen de protocollen op 8 september uitschakelen.
Firefox 76 krijgt optionele HTTPS-modus
Mozilla heeft aangekondigd dat ze gebruikers een Alleen HTTPS-modus in versie 76 van de Firefox-browser. Volgens Softpedia de functie zal dienen om de weinige achterblijvers die zich vastklampen aan HTTP naar de veilige server te duwen HTTPS protocol. Eenmaal geactiveerd in de browser, zouden HTTP-sites niet meer worden geladen. In plaats daarvan probeert de browser de verbinding naar HTTPS te upgraden. Als dat niet beschikbaar is, krijgen gebruikers voorlopig een waarschuwing 'Beveiligde verbinding mislukt' die kan worden opgevolgd of genegeerd.
Firefox 76 biedt dit veiliger browsen nu alleen als een optie aan - niet als een standaard - dus gebruikers zullen zich moeten aanmelden voor de ervaring met alleen HTTPS.
Clientcertificaten vereenvoudigd in Firefox 75
In meer goed nieuws over Firefox, Kondigde Mozilla aan dat ze het gebruik van clientcertificaten in versie 75 van de browser zullen vereenvoudigen door deze toegang te geven tot het certificaatarchief van het besturingssysteem op Windows en macOS. Tot nu toe moesten gebruikers van Firefox werken met clientcertificaten in de browser door een bibliotheek van derden te laden om te communiceren met hardwaretokens of door certificaten en privésleutels te importeren in het eigen certificaatarchief van de browser. Dat is niet de veiligste manier om dingen aan te pakken, en het kan ook stabiliteitsproblemen veroorzaken.
Net als Chrome en andere browsers heeft Firefox nu een eigen bibliotheek ontwikkeld om te communiceren met de opslag van OS-certificaten. Van de blog:
In plaats van bibliotheken van derden te laden om te communiceren met hardwaretokens, kan Firefox deze taak delegeren aan het besturingssysteem. In plaats van de gebruiker te dwingen om clientcertificaten te exporteren en deze opnieuw in hun Firefox-profiel te importeren, kan Firefox ook rechtstreeks naar deze certificaten zoeken. Naast het beschermen van privésleutels, stelt dit nieuwe mechanisme Firefox in staat om gebruik te maken van clientcertificaten met niet-exporteerbare sleutels ... We verwachten dat deze functie van groot voordeel zal zijn voor onze zakelijke gebruikers die voorheen veel moeite hebben gedaan om Firefox te configureren om in hun omgeving te werken .
Jitsi biedt een open-source alternatief voor zoomen
Zoom haalde vorige maand veel krantenkoppen. Ten eerste sprong iedereen op Zoom om verbinding te maken met werk, vrienden en familie vanuit huis terwijl ze de opdracht hadden thuis te blijven om de verspreiding van het coronavirus te voorkomen. Vervolgens rende iedereen weg toen er beveiligingsproblemen ontstonden en aan werd gewerkt. Ondertussen kwamen er alternatieven.
Jitsi ontmoeten van 8 × 8 biedt een open-sourceoptie voor videoconferenties met functies zoals wachtwoordbeveiliging. En, zoals Wired merkt op, er zijn duidelijke voordelen aan het hebben van open source software die aanpassingen door de gemeenschap van ontwikkelaars mogelijk maakt:
Het feit dat iedereen de code van Jitsi kan wijzigen en delen, betekent dat anderen de tool in hun software kunnen inbouwen. WeSchool heeft dat gedaan. Dat gold ook voor open source chatsoftware rel, dat Jitsi gebruikt voor zijn videochatcomponent. Ivov zegt dat 8 × 8 baat heeft bij dit soort projecten omdat ze testen hoe de code van Jitsi presteert op verschillende apparaten en in verschillende omgevingen. Dat helpt het Jitsi-ontwikkelingsteam de software te verbeteren voor zowel open-source gebruikers als betaalde 8 × 8-klanten.
Op dit moment biedt Jitsi alleen end-to-end-codering voor hun één-op-één-oproepen, geen conferenties van meer dan twee personen (waarvoor het gebruik van een gecentraliseerde server nodig is die de gegevens moet decoderen) / Ze werken echter over het uitbreiden van end-to-end-encryptie naar die grotere oproepen.
