Beveiligingsoverzicht van juli 2020

De Roundup van juli heeft betrekking op MS Edge-beveiliging, gemengde inhoud in Chrome 85, certificaten van 398 dagen in Chrome en Firefox, en TLS Beëindiging van 1.0 en 1.1 in MS Office.

gerelateerde inhoud

Wil je blijven leren?

Abonneer u op de nieuwsbrief van SSL.com, blijf op de hoogte en veilig.

We rapporteren live vanaf het midden van de zomer en we brengen je graag een juli-samenvatting uit de wereld van digitale beveiliging! Deze maand gaan we kijken naar:

NSS Labs geeft Microsoft Edge de hoogste beoordeling voor phishing en malwarepreventie

Tot dusver heeft Microsoft Edge bewezen een serieuze concurrent te zijn van meer gevestigde browsers en nieuwe updates versterken zijn positie alleen maar. EEN verslag door Kate O'Flaherty in Forbes merkt op dat het misschien nog steeds de nummer twee browser in het algemeen is, maar recente updates hebben het ongeëvenaard gemaakt als het gaat om beveiliging. Van het Forbes-artikel:

Maar een nieuw rapport van NSS-laboratoria zag eigenlijk Microsoft's Edge Chrome verslaan in de beveiligingsinzet. Omdat het gebruikt Microsoft Defender Smart ScreenEdge bleek de beste phishing-bescherming te bieden in vergelijking met de andere geteste browsers en blokkeerde 95.5% van de phishing-URL's. Google, die de Safe Browsing-API, kwam op de tweede plaats met 86.9%.

Als op Microsoft gerichte site OnMsft rapporten, een ander afzonderlijk NSS Labs-rapport laat zien hoe Edge ook betere malwarebescherming heeft dan rivalen Chrome, Firefox en Opera. Microsoft Edge blokkeert 98.5% van de malware, terwijl Firefox op de tweede plaats gemiddeld 86.1% blokkeert, gevolgd door Google Chrome op 86.0%.

Het is natuurlijk een goed moment om gefocust te zijn op browserbeveiliging naarmate meer werk en operaties van kantoor naar een gedecentraliseerd thuiswerkmodel gaan. We zullen de updates in de gaten houden die Edge blijft uitbrengen en kijken hoe de browser vecht om de markt te domineren.

De afhaalmaaltijd van SSL.com: Wij bij SSL.com zijn grote fans van concurrentie, vooral als het gaat om een ​​strijd om veiligheid voor gebruikers. Het is leuk om te zien dat Microsoft Edge beveiliging serieus neemt met zijn nieuwe, op Chromium gebaseerde Edge-browser.

Afbeeldingen moeten door Summer's End automatisch worden geüpgraded naar HTTPS in Chrome 85

In een volgende stap naar een algemene implementatie van HTTPS, zal de volgende grote versie van Chrome afbeeldingen die via HTTP worden aangeboden automatisch upgraden van HTTPS-websites naar het veiligere protocol. In Chrome 85, dat op 25 augustus stabiel wordt uitgebracht, is HTTPS de enige optie voor afbeeldingen die worden aangeboden vanaf HTTPS-websites - als dat niet beschikbaar is, worden de afbeeldingen gewoon niet weergegeven in Chrome.

Zoals gewoonlijk, de Chromium Blog heeft meer details:

Chrome is nu automatisch upgraden van afbeeldingen bediend via HTTP van HTTPS-sites door URL's te herschrijven naar HTTPS zonder terug te vallen op HTTP wanneer beveiligde inhoud niet beschikbaar is. Chrome heeft audio- en videocontent sinds versie 80 automatisch geüpgraded.

Het is een goede stap voorwaarts en een goede herinnering eraan verwijder gemengde inhoud op websites!

De afhaalmaaltijd van SSL.com:  Als je dat nog niet hebt gedaan elimineerde gemengde inhoud vanaf uw website, nu is het tijd! En als het niet duidelijk is uit deze nieuwe informatie, zorg er dan voor dat alle afbeeldingen op uw HTTPS-websites vóór 25 augustus beschikbaar zijn via HTTPS, als u wilt dat ze worden gezien door Chrome-gebruikers.

Chrome en Firefox volgen Apple op certificaten van 398 dagen

Nou, het is officieel. Vanaf 1 september zal alle Apple-software (in wezen) SSL /TLS certificaten die meer dan 398 dagen geldig zijn. De industrie weet dat dit zou gebeuren sinds februari, dus hoewel het nog steeds opmerkelijk is, is het echte nieuws dat Chrome en Firefox officieel volgen, waarbij Mozilla zich voorbereidt om over te schakelen naar 398-certificaten in zijn browser, en bevestiging in de Chromium-broncode dat Chrome vanaf 1 september dezelfde standaard zou handhaven.

Het register rapporteerde over het "afkraken" van certificaten van twee jaar in een artikel van Shaun Nichols over de verandering:

Apple is van mening dat dit beleid ervoor zorgt dat websites en apps hun certificaten één keer per jaar vernieuwen, waardoor ze worden aangemoedigd om de nieuwste cryptografische standaarden te gebruiken, en zorgt ervoor dat gestolen certificaten niet kunnen worden gebruikt voor langlopende phishing-campagnes en andere shenanigans omdat ze snel genoeg verlopen.

… Het volstaat te zeggen dat certificaatverkopers geïrriteerd waren door de verandering. 'De eenzijdige beslissing van Apple, tegen de uitslag van de stemming, maakt het CA / B-forum wat ons betreft een beetje nutteloos', snoof de Spaanse cert biz Firmaprofesional.

Alle tekenen wijzen erop dat iedereen Apple volgt om de levensduur van certificaten te verkorten. Op dit moment heeft Microsoft nog geen aankondiging gedaan over wat ze zullen doen, maar het is gemakkelijk om conclusies te trekken, aangezien de Edge-browser van het bedrijf Chrome als engine gebruikt.

De afhaalmaaltijd van SSL.com: We hadden voorspeld dat dit waarschijnlijk zou gebeuren terug in februari, aangezien de eenzijdige stap van Apple om de levensduur van certificaten te verkorten, heeft geleid tot een nieuwe consensus in de sector. In feite heeft SSL.com al maakte plannen om te voldoen aan het beleid van Apple voordat de wijziging van kracht wordt, zodat de klanten van SSL.com geen hinder ondervinden van browsers die de nieuwe, kortere limieten voor de levensduur van certificaten toepassen.

Microsoft dwingt beëindiging af van TLS 1.0 en 1.1 voor Office 365

Na een pandemische vertraging zal Microsoft officieel beginnen met het afdwingen van afschrijvingen van de TLS 1.0- en 1.1-protocollen - waarvan bekend is dat ze onveilig zijn - in Office 365. De protocollen waren eigenlijk beëindigd op 31 oktober 2018. En volgens Microsoft is de handhaving opnieuw ingesteld en zou deze op 15 oktober operationeel moeten zijn. , 2020.

Eerlijk gezegd heeft dit niet te veel gebruikers zoals de Office-client kan gebruiken TLS 1.2 indien ondersteund door de lokale computer. Het is echter misschien de moeite waard om op te merken TLS 1.2 is niet beschikbaar op Windows 7 zonder de KB 3140245-update. Wie op zoek is naar een technisch overzicht van de verandering, kan terecht bij de Microsoft Blog, wat alles verklaart.

De afhaalmaaltijd van SSL.com: Zoals hierboven vermeld, zullen de meeste gebruikers niet worden beïnvloed door deze wijziging, aangezien alle moderne besturingssystemen dit ondersteunen TLS 1.2. Gebruikers van Windows 7 kunnen ervoor zorgen dat de vereiste update op hun systemen is toegepast, maar ze moeten sterk overwegen om te upgraden naar Windows 10, als ondersteuning voor Windows 7 (inclusief beveiligingspatches) afgelopen terug op 14 januari 2020.

We willen graag uw feedback

Vul onze enquête in en laat ons uw mening over uw recente aankoop weten.