Velkommen til denne aprilutgaven av SSL.com's Security Roundup! Mange av oss har blitt kooperert i løpet av den siste måneden, men livet på nettet går fremdeles sterkt, noe som betyr at vi har mye å runde opp når det gjelder digital sikkerhet. Denne måneden skal vi se på:
- Microsoft utsetter TLS 1.0 og 1.0 avskrivning
- Bare HTTPS-modus i Firefox 76
- Utvidet tilgang til klientsertifikater for Firefox 75
- Et åpen kildekode-alternativ til Zoom
Microsoft utsetter TLS 1.0 og 1.1 Avskrivning
Skjønt Microsoft hadde planlagt å deaktivere Transport Layer Security (TLS) versjoner 1.0 og 1.1 en gang i vår, selskapet annonsert at "i lys av aktuelle hendelser" vil planen nå bli utsatt til slutten av året.
Selv om det kan høres ut som en praktisk unnskyldning for ikke å gjøre noe, rapporter fra ghacks.net at en utbredt løfte blant nettlesere om å deaktivere sikkerhetsprotokollene, faktisk ble et spørsmål under pandemien. De skriver:
Noen, som Mozilla, gikk foran med endringen, men vendte den tilbake da det ble klart at noen regjeringsnettsteder fremdeles stolte på disse protokollene. Brukere av Firefox hadde ikke lenger tilgang til disse nettstedene på grunn av deaktiverte protokoller. Mozilla aktiverte protokollene på nytt for å sikre at Firefox-brukere over hele verden kan få tilgang til viktige nettsteder i en krisetid.
Akkurat nå planlegger Microsoft å gi ut en ny Chromium-basert Microsoft Edge-versjon 84r i juli der TLS 1.0 og 1.1 vil være deaktivert som standard. Microsoft Internet Explorer 11 og Classic Microsoft Edge vil deaktivere protokollene 8. september.
Firefox 76 får valgfri HTTPS-modus bare
Mozilla har kunngjort at de vil tilby brukere en HTTPS-bare modus i versjon 76 av Firefox-nettleseren. I følge Softpedia funksjonen vil tjene til å skyve de få stragglers som klamrer seg fast til HTTP over til den sikre HTTPS protokoll. Når aktiverte i nettleseren, vil ikke HTTP-nettsteder lastes lenger. I stedet vil nettleseren prøve å oppgradere tilkoblingen til HTTPS. Hvis det ikke er tilgjengelig, vil brukerne for øyeblikket få en advarsel om "Sikker tilkobling mislyktes" som enten kan overholdes eller ignoreres.
Firefox 76 tilbyr bare denne sikrere surfingen som et alternativ akkurat nå - ikke som en standard - slik at brukerne må melde seg på HTTPS-opplevelsen.
Klientsertifikater forenklet i Firefox 75
I flere gode nyheter om Firefox, Mozilla kunngjorde at de vil forenkle bruk av klientsertifikat i nettleserversjon 75 ved å la den få tilgang til operativsystemets sertifikatlager på Windows og macOS. Fram til dette har brukere av Firefox måttet jobbe med klientsertifikater i nettleseren ved å laste inn et tredjepartsbibliotek for å kommunisere med maskinvaretokener eller importere sertifikater og private nøkler til nettleserens eget sertifikatlager. Det er ikke den sikreste måten å gjøre ting på, og kan også forårsake stabilitetsproblemer.
Nå, som Chrome og andre nettlesere, har Firefox utviklet et eget bibliotek for å grensesnitt mot OS-sertifikatlagring. Fra bloggen:
I stedet for å laste inn tredjepartsbiblioteker for å kommunisere med maskinvaretokener, kan Firefox delegere denne oppgaven til operativsystemet. I stedet for å tvinge brukeren til å eksportere klientsertifikater og importere dem til Firefox-profilen sin, kan Firefox se etter disse sertifikatene direkte. I tillegg til å beskytte private nøkler, lar denne nye mekanismen Firefox benytte seg av klientsertifikater med unexportable nøkler… Vi forventer at denne funksjonen vil være til stor fordel for våre bedriftsbrukere som tidligere har lagt stor vekt på å konfigurere Firefox til å fungere i miljøet. .
Jitsi tilbyr et alternativ med åpen kildekode til zoom
Zoom kom med mange overskrifter forrige måned. Først hoppet alle på Zoom for å koble seg til jobb, venner og familie hjemmefra mens de fikk ordre om å være hjemme for å forhindre spredning av coronavirus. Deretter løp alle bort når sikkerhetsproblemer oppsto og ble arbeidet med. I mellomtiden dukket det opp alternativer.
Jitsi møtes fra 8 × 8 tilbyr et åpen kildekode-alternativ for videokonferanser som har funksjoner som passordbeskyttelse. Og, som kablet notater, er det tydelige fordeler med å ha åpen kildekode-programvare som gjør det mulig for endringer fra utviklermiljøet:
Det at hvem som helst kan endre og dele Jitsis kode betyr at andre kan bygge verktøyet inn i programvaren sin. WeSchool gjorde det. Det samme gjorde åpen kildekode for nettpratprogramvare Riot, som bruker Jitsi til sin videochattkomponent. Ivov sier at 8 × 8 drar nytte av denne typen prosjekter fordi de tester hvordan Jitsis kode fungerer på forskjellige enheter og i forskjellige miljøer. Det hjelper Jitsi-utviklingsteamet med å forbedre programvaren for både open source-brukere og betalte 8 × 8-kunder.
Akkurat nå tilbyr Jitsi bare ende-til-ende-kryptering for en-til-en-samtaler, ikke konferanser med mer enn to personer (som krever bruk av en sentralisert server som trenger å dekryptere dataene) / Imidlertid jobber de på å utvide ende-til-ende-kryptering til de større anropene.