Juli 2020 sikkerhetsrunde

Julens Roundup dekker MS Edge-sikkerhet, blandet innhold i Chrome 85, 398-dagers sertifikater i Chrome og Firefox, og TLS 1.0 og 1.1 avskrivning i MS Office.

Relatert innhold

Vil du fortsette å lære?

Abonner på SSL.coms nyhetsbrev, hold deg informert og sikker.

Rapportering live fra midten av sommeren, vi er glade for å gi deg en juli Roundup fra en verden av digital sikkerhet! Denne måneden skal vi se på:

Trenger du et sertifikat? SSL.com tilbyr et bredt utvalg av digitale sertifikater, inkludert:

SAMMENLIGN SSL /TLS SERTIFIKATER

NSS Labs gir Microsoft Edge toppvurdering for phishing og malware-forebygging

Så langt har Microsoft Edge vist seg å være en seriøs konkurrent til mer etablerte nettlesere, og nye oppdateringer styrker bare posisjonen. EN rapporterer av Kate O'Flaherty i Forbes bemerker at det fremdeles kan være nettleser nummer to generelt, men de siste oppdateringene har gjort det uten sidestykke når det gjelder sikkerhet. Fra Forbes-artikkelen:

Men en ny rapport av NSS Labs så faktisk Microsofts Edge slå Chrome i sikkerhetsinnsatsene. Fordi den bruker Microsoft Defender Smart ScreenDet ble funnet at Edge tilbyr den beste phishing-beskyttelsen sammenlignet med de andre nettleserne som ble testet, og blokkerte 95.5% av nettfiskingsadressene. Google, som bruker Safe Browsing API, kom på andreplass på 86.9%.

Som Microsoft fokusert nettsted OnMsft rapporter, viser en annen separat NSS Labs-rapport hvordan Edge også har bedre skadelig beskyttelse enn konkurrenter mot Chrome, Firefox og Opera. Microsoft Edge blokkerer 98.5% malware, mens andreplass blokkerer gjennomsnittlig 86.1%, etterfulgt av Google Chrome på 86.0%.

Det er selvfølgelig et flott tidspunkt å være fokusert på nettlesersikkerhet når mer arbeid og drift flytter fra kontoret til en desentralisert work-at-home-modell. Vi vil følge med på oppdateringene som Edge fortsetter å tømme ut, og se på når nettleseren kjemper for å dominere markedet.

SSL.coms takeaway: Vi på SSL.com er store fans av konkurranse, spesielt når det gjelder en kamp om sikkerhet for brukerne. Det er hyggelig å se at Microsoft Edge tar sikkerhet på alvor med sin nye Chromium-baserte Edge-nettleser.

Bilder som skal oppgraderes automatisk til HTTPS i Chrome 85 av Summer's End

I et enda skritt mot en gjennomgående implementering av HTTPS, vil den neste store versjonen av Chrome automatisk oppgradere bilder som serveres via HTTP fra HTTPS nettsteder til den sikrere protokollen. I Chrome 85, som har sin stabile utgivelse 25. august, vil HTTPS være det eneste alternativet for bilder som serveres fra HTTPS nettsteder - hvis det ikke er tilgjengelig, vises bildene ganske enkelt ikke i Chrome.

Som vanlig Chromium Blog har flere detaljer:

Chrome er nå automatisk oppgradering av bilder servert over HTTP fra HTTPS-nettsteder ved å skrive om nettadresser til HTTPS uten å falle tilbake til HTTP når sikkert innhold ikke er tilgjengelig. Chrome har automatisk oppgradert lyd- og videoinnhold siden versjon 80.

Det er et godt skritt fremover, og en god påminnelse om eliminere blandet innhold på nettsteder!

SSL.coms takeaway:  Hvis du ikke har gjort det ennå eliminert blandet innhold fra nettstedet ditt, nå er det tid! Og hvis det ikke var klart av denne nye informasjonen, må du sørge for at alle bildene på HTTPS-nettstedene dine er tilgjengelige via HTTPS før 25. august, hvis du vil at de skal bli sett av Chrome-brukere.

Chrome og Firefox følger Apple på 398-dagers sertifikater

Det er offisielt. Fra 1. september vil all Apple-programvare (i det vesentlige) avvise SSL /TLS sertifikater som er gyldige i mer enn 398 dager. Bransjen har visst at dette kom til å skje siden februar, så selv om det fremdeles er bemerkelsesverdig, er den virkelige nyheten at Chrome og Firefox offisielt følger etter, med Mozilla forberedt på å bytte til 398-sertifikater i nettleseren, og bekreftelse i Chromium-kildekoden at Chrome vil håndheve den samme standarden også fra 1. september.

Registeret rapporterte om "snubbing" av 2-årige sertifikater i en artikkel av Shaun Nichols om endringen:

Apple regner med at denne policyen sørger for at nettsteder og apper oppdaterer seriene sine en gang i året, og oppfordrer dem til å bruke de nyeste kryptografiske standardene, og sørger for at stjålne certs ikke kan brukes til langvarige phishing-kampanjer og andre shenanigans, ettersom de utløper snart nok.

... Det er nok å si at sertifikatselgere ble irritert over endringen. 'Den ensidige avgjørelsen fra Apple, mot resultatene av stemmeseddelen, gjør CA / B-forumet litt ubrukelig, fra vårt synspunkt,' snuste spansk cert biz Firmaprofesional.

Alle tegn peker på alle som følger Apples ledelse til å forkorte levetid for sertifikater. For øyeblikket har Microsoft ennå ikke kunngjort hva de vil gjøre, men det er lett å trekke konklusjoner som de vil, gitt det faktum at selskapets Edge-nettleser bruker Chrome som sin motor.

SSL.coms takeaway: Vi spådde at dette sannsynligvis ville skje tilbake i februar, ettersom Apples ensidige trekk for å forkorte sertifikatets levetid har tvunget til en ny bransjekonsensus. Faktisk har SSL.com allerede lagt planer for å overholde Apples retningslinjer før endringen trer i kraft, så SSL.coms kunder vil ikke bli berørt av noen nettlesere som vedtar de nye, kortere sertifikatets levetid.

Microsoft tvinger frem avskrivninger av TLS 1.0 og 1.1 for Office 365

Etter en pandemirelatert forsinkelse, vil Microsoft offisielt begynne å håndheve avskrivninger av TLS 1.0 og 1.1-protokoller - som er kjent for å være usikre - i Office 365. Protokollene ble faktisk avskrevet 31. oktober 2018. Og i følge Microsoft har håndhevingen blitt tilbakestilt og skal være i gang 15. oktober 2020 , XNUMX.

Ærlig talt, dette vil ikke påvirke for mange brukere som Office-klienten kan bruke TLS 1.2 hvis den støttes av den lokale datamaskinen. Det kan imidlertid være verdt å merke seg det TLS 1.2 er ikke tilgjengelig på Windows 7 uten KB 3140245 oppdatering. De som leter etter en teknisk oversikt over endringen kan gå over til Microsoft Blog, som forklarer alt.

SSL.coms takeaway: Som nevnt ovenfor, vil de fleste brukere ikke bli påvirket av denne endringen, da alle moderne operativsystemer støtter TLS 1.2. Windows 7-brukere kan sørge for at den nødvendige oppdateringen er brukt på systemene deres, men de bør sterkt vurdere å oppgradere til Windows 10, som støtte for Windows 7 (inkludert sikkerhetsoppdateringer) endte tilbake 14. januar 2020.

Vi vil gjerne ha tilbakemeldinger

Ta vår spørreundersøkelse og fortell oss dine tanker om ditt nylige kjøp.