April 2020 sikkerhetsrunde

Aprilens roundup-omslag TLS 1.0 og 1.1 i Microsofts nettlesere, bare HTTPS-modus og klientsertifikater i Firefox, og Zoom alternative Jitsi.

Relatert innhold

Vil du fortsette å lære?

Abonner på SSL.coms nyhetsbrev, hold deg informert og sikker.

Velkommen til denne aprilutgaven av SSL.com's Security Roundup! Mange av oss har blitt kooperert i løpet av den siste måneden, men livet på nettet går fremdeles sterkt, noe som betyr at vi har mye å runde opp når det gjelder digital sikkerhet. Denne måneden skal vi se på:

Microsoft utsetter TLS 1.0 og 1.1 Avskrivning

Skjønt Microsoft hadde planlagt å deaktivere Transport Layer Security (TLS) versjoner 1.0 og 1.1 en gang i vår, selskapet annonsert at "i lys av aktuelle hendelser" vil planen nå bli utsatt til slutten av året.

Selv om det kan høres ut som en praktisk unnskyldning for ikke å gjøre noe, rapporter fra ghacks.net at en utbredt løfte blant nettlesere om å deaktivere sikkerhetsprotokollene, faktisk ble et spørsmål under pandemien. De skriver:

Noen, som Mozilla, gikk foran med endringen, men vendte den tilbake da det ble klart at noen regjeringsnettsteder fremdeles stolte på disse protokollene. Brukere av Firefox hadde ikke lenger tilgang til disse nettstedene på grunn av deaktiverte protokoller. Mozilla aktiverte protokollene på nytt for å sikre at Firefox-brukere over hele verden kan få tilgang til viktige nettsteder i en krisetid.

Akkurat nå planlegger Microsoft å gi ut en ny Chromium-basert Microsoft Edge-versjon 84r i juli der TLS 1.0 og 1.1 vil være deaktivert som standard. Microsoft Internet Explorer 11 og Classic Microsoft Edge vil deaktivere protokollene 8. september.

SSL.coms takeaway: Vi har advart deg i noen tid at disse protokollene er utdaterte og usikre, og denne siste rynken endrer ikke det. Fordi det bare er planer om å deaktivere dem som standard i nettlesere, for ikke å fjerne dem helt, kan de alltid aktiveres hvis det er absolutt nødvendig. Men gjør det bare hvis det virkelig trengs.

Firefox 76 får valgfri HTTPS-modus bare

Mozilla har kunngjort at de vil tilby brukere en HTTPS-bare modus i versjon 76 av Firefox-nettleseren. I følge Softpedia funksjonen vil tjene til å skyve de få stragglers som klamrer seg fast til HTTP over til den sikre HTTPS protokoll. Når aktiverte i nettleseren, vil ikke HTTP-nettsteder lastes lenger. I stedet vil nettleseren prøve å oppgradere tilkoblingen til HTTPS. Hvis det ikke er tilgjengelig, vil brukerne for øyeblikket få en advarsel om "Sikker tilkobling mislyktes" som enten kan overholdes eller ignoreres.

Firefox 76 tilbyr bare denne sikrere surfingen som et alternativ akkurat nå - ikke som en standard - slik at brukerne må melde seg på HTTPS-opplevelsen.

SSL.coms takeaway:  Hvis du vil konfigurere Firefox til kun å bruke HTTPS, gir vi detaljerte instruksjoner etter den planlagte utgivelsesdatoen, som for øyeblikket er 5. mai 2020.

Klientsertifikater forenklet i Firefox 75

I flere gode nyheter om Firefox, Mozilla kunngjorde at de vil forenkle bruk av klientsertifikat i nettleserversjon 75 ved å la den få tilgang til operativsystemets sertifikatlager på Windows og macOS. Fram til dette har brukere av Firefox måttet jobbe med klientsertifikater i nettleseren ved å laste inn et tredjepartsbibliotek for å kommunisere med maskinvaretokener eller importere sertifikater og private nøkler til nettleserens eget sertifikatlager. Det er ikke den sikreste måten å gjøre ting på, og kan også forårsake stabilitetsproblemer.

 Nå, som Chrome og andre nettlesere, har Firefox utviklet et eget bibliotek for å grensesnitt mot OS-sertifikatlagring. Fra bloggen:

I stedet for å laste inn tredjepartsbiblioteker for å kommunisere med maskinvaretokener, kan Firefox delegere denne oppgaven til operativsystemet. I stedet for å tvinge brukeren til å eksportere klientsertifikater og importere dem til Firefox-profilen sin, kan Firefox se etter disse sertifikatene direkte. I tillegg til å beskytte private nøkler, lar denne nye mekanismen Firefox benytte seg av klientsertifikater med unexportable nøkler… Vi forventer at denne funksjonen vil være til stor fordel for våre bedriftsbrukere som tidligere har lagt stor vekt på å konfigurere Firefox til å fungere i miljøet. .

SSL.coms takeaway: Klientautentiseringssertifikater legger til en ekstra sikker autentiseringsfaktor når du logger på webapplikasjoner. Vi er glade for at Mozilla jobber for å gjøre prosessen enklere for Firefox-brukere, og håper at Mozilla planlegger en lignende oppgradering for den Thunderbird e-postklient.

Jitsi tilbyr et alternativ med åpen kildekode til zoom

Zoom kom med mange overskrifter forrige måned. Først hoppet alle på Zoom for å koble seg til jobb, venner og familie hjemmefra mens de fikk ordre om å være hjemme for å forhindre spredning av coronavirus. Deretter løp alle bort når sikkerhetsproblemer oppsto og ble arbeidet med. I mellomtiden dukket det opp alternativer.

Jitsi møtes fra 8 × 8 tilbyr et åpen kildekode-alternativ for videokonferanser som har funksjoner som passordbeskyttelse. Og, som kablet notater, er det tydelige fordeler med å ha åpen kildekode-programvare som gjør det mulig for endringer fra utviklermiljøet:

Det at hvem som helst kan endre og dele Jitsis kode betyr at andre kan bygge verktøyet inn i programvaren sin. WeSchool gjorde det. Det samme gjorde åpen kildekode for nettpratprogramvare Riot, som bruker Jitsi til sin videochattkomponent. Ivov sier at 8 × 8 drar nytte av denne typen prosjekter fordi de tester hvordan Jitsis kode fungerer på forskjellige enheter og i forskjellige miljøer. Det hjelper Jitsi-utviklingsteamet med å forbedre programvaren for både open source-brukere og betalte 8 × 8-kunder.

Akkurat nå tilbyr Jitsi bare ende-til-ende-kryptering for en-til-en-samtaler, ikke konferanser med mer enn to personer (som krever bruk av en sentralisert server som trenger å dekryptere dataene) / Imidlertid jobber de på å utvide ende-til-ende-kryptering til de større anropene.

SSL.coms takeaway:  SSL.com støtter end-to-end-kryptering for videosamtaler, og utvikling av sikre og private open source-verktøy for det som har blitt en viktig tjeneste. Ettersom videokonferanser har blitt et viktig kommunikasjonsverktøy i alle våre liv, vil vi følge Jitsis utvikling nøye.
Takk for at du valgte SSL.com! Hvis du har spørsmål, kan du kontakte oss via e-post på Support@SSL.com, anrop 1-877-SSL-SECURE, eller bare klikk chat-lenken nederst til høyre på denne siden. Du kan også finne svar på mange vanlige støttespørsmål i vår kunnskapsbase.


Vi vil gjerne ha tilbakemeldinger

Ta vår spørreundersøkelse og fortell oss dine tanker om ditt nylige kjøp.