Podsumowanie dotyczące bezpieczeństwa w lipcu 2020 r

Relacjonując na żywo od połowy lata, z przyjemnością przedstawiamy lipcowe podsumowanie ze świata bezpieczeństwa cyfrowego! W tym miesiącu przyjrzymy się:

NSS Labs przyznaje Microsoft Edge najwyższą ocenę w zakresie ochrony przed phishingiem i złośliwym oprogramowaniem

Jak dotąd Microsoft Edge okazał się poważnym konkurentem dla bardziej ugruntowanych przeglądarek, a nowe aktualizacje tylko umacniają jego pozycję. ZA raport autorstwa Kate O'Flaherty w Forbes zauważa, że ​​nadal może to być przeglądarka numer dwa, ale ostatnie aktualizacje sprawiły, że nie ma sobie równych pod względem bezpieczeństwa. Z artykuł Forbes:

Ale nowy raport wg Laboratoria NSS faktycznie widział, jak Edge firmy Microsoft pokonał Chrome pod względem bezpieczeństwa. Ponieważ używa Inteligentny ekran Microsoft DefenderOkazało się, że Edge zapewnia najlepszą ochronę przed phishingiem w porównaniu z innymi testowanymi przeglądarkami, blokując 95.5% phishingowych adresów URL. Google, który korzysta z Interfejs API Bezpiecznego przeglądania, uplasował się na drugim miejscu z wynikiem 86.9%.

Witryna skoncentrowana na firmie Microsoft OnMsft raporty, kolejny oddzielny raport NSS Labs pokazuje, że Edge ma również lepszą ochronę przed złośliwym oprogramowaniem niż rywale Chrome, Firefox i Opera. Microsoft Edge blokuje 98.5% złośliwego oprogramowania, podczas gdy Firefox na drugim miejscu blokuje średnio 86.1%, a następnie Google Chrome z 86.0%.

To oczywiście wspaniały czas, aby skupić się na bezpieczeństwie przeglądarki, ponieważ coraz więcej zadań i operacji przenosi się z biura do zdecentralizowanego modelu pracy w domu. Będziemy obserwować aktualizacje, które nadal pojawiają się w Edge, i obserwować, jak przeglądarka walczy o dominację na rynku.

Na wynos SSL.com: W SSL.com jesteśmy wielkimi fanami konkurencji, zwłaszcza jeśli chodzi o walkę o bezpieczeństwo użytkowników. Miło jest widzieć, że Microsoft Edge poważnie traktuje bezpieczeństwo dzięki nowej przeglądarce Edge opartej na Chromium.

Obrazy, które zostaną automatycznie uaktualnione do HTTPS w Chrome 85 przed końcem lata

Kolejnym krokiem w kierunku kompleksowej implementacji HTTPS jest kolejna większa wersja Chrome, która automatycznie uaktualni obrazy przesyłane przez HTTP z witryn HTTPS do bezpieczniejszego protokołu. W Chrome 85, którego stabilna wersja zostanie wydana 25 sierpnia, HTTPS będzie jedyną opcją dla obrazów wyświetlanych ze stron HTTPS - jeśli nie jest dostępna, obrazy po prostu nie będą wyświetlane w Chrome.

Jak zwykle blog Chromium ma więcej szczegółów:

Chrome jest teraz obrazy uaktualniane automatycznie obsługiwane przez HTTP z witryn HTTPS poprzez przepisywanie adresów URL do HTTPS bez powrotu do HTTP, gdy bezpieczna zawartość nie jest dostępna. Chrome automatycznie uaktualnia zawartość audio i wideo od wersji 80.

To dobry krok naprzód i dobre przypomnienie wyeliminować zawartość mieszaną na stronach internetowych!

Na wynos SSL.com:  Jeśli jeszcze tego nie zrobiłeś wyeliminowana zawartość mieszana z Twojej witryny, teraz jest czas! A jeśli nie wynika to jasno z tych nowych informacji, upewnij się, że wszystkie obrazy w witrynach HTTPS są dostępne przez HTTPS przed 25 sierpnia, jeśli chcesz, aby były widoczne dla użytkowników Chrome.

Chrome i Firefox podążają za Apple przez 398-dniowe certyfikaty

Cóż, to oficjalne. Od 1 września całe oprogramowanie Apple (zasadniczo) będzie odrzucać SSL /TLS certyfikaty, które są ważne przez ponad 398 dni. Branża wiedziała, że ​​stanie się to od lutego, więc chociaż wciąż jest to godne uwagi, prawdziwą wiadomością jest to, że Chrome i Firefox oficjalnie podążają za tym przykładem, a Mozilla przygotowuje się do przejścia na certyfikaty 398 w swojej przeglądarce i potwierdzenie w kodzie źródłowym Chromium że Chrome będzie egzekwować ten sam standard również od 1 września.

Rejestr informował o „unieważnieniu” 2-letnich certyfikatów w artykule Shauna Nicholsa o zmianie:

Apple uważa, że ​​ta polityka zapewnia, że ​​witryny i aplikacje odświeżają swoje certyfikaty raz w roku, zachęcając je w ten sposób do korzystania z najnowszych standardów kryptograficznych i zapewnia, że ​​skradzione certyfikaty nie mogą być wykorzystywane do długotrwałych kampanii phishingowych i innych oszustw, ponieważ wkrótce wygasną.

… Wystarczy powiedzieć, że ta zmiana zirytowała sprzedawców certyfikatów. „Jednostronna decyzja Apple, wbrew wynikom głosowania, sprawia, że ​​CA / B Forum jest z naszego punktu widzenia trochę bezużyteczne” - pociągnął nosem hiszpański cert biz Firmaprofesional.

Wszystko wskazuje na to, że wszyscy podążający za Apple skracają okres ważności certyfikatów. W tej chwili Microsoft nie ogłosił jeszcze, co zrobi, ale łatwo wyciągnąć wnioski, że tak zrobi, biorąc pod uwagę fakt, że przeglądarka Edge firmy używa Chrome jako swojego silnika.

Na wynos SSL.com: Przewidzieliśmy, że tak się stanie w lutym, ponieważ jednostronne posunięcie Apple'a w celu skrócenia żywotności certyfikatów wymusiło nowy konsensus w branży. W rzeczywistości SSL.com już to zrobił zrobiłem plany aby zachować zgodność z polityką Apple, zanim zmiana wejdzie w życie, więc klienci SSL.com nie zostaną dotknięci żadnymi przeglądarkami, które przyjmą nowe, krótsze ograniczenia żywotności certyfikatu.

Firma Microsoft wymusza wycofanie TLS 1.0 i 1.1 dla Office 365

Po opóźnieniu związanym z pandemią Microsoft oficjalnie rozpocząć wymuszanie amortyzacji ukończenia TLS Protokoły 1.0 i 1.1 - które są powszechnie znane jako niezabezpieczone - w Office 365. Protokoły były faktycznie przestarzałe od 31 października 2018 r. Według firmy Microsoft wymuszanie zostało zresetowane i powinno zacząć działać 15 października , 2020.

Szczerze mówiąc, nie wpłynie to na zbyt wielu użytkowników, z których może korzystać klient Office TLS 1.2, jeśli jest obsługiwane przez komputer lokalny. Warto jednak to zauważyć TLS 1.2 nie jest dostępna w systemie Windows 7 bez rozszerzenia Aktualizacja KB 3140245. Ci, którzy szukają technicznego przeglądu zmiany, mogą udać się do Blog Microsoft, co wyjaśnia wszystko.

Na wynos SSL.com: Jak wspomniano powyżej, większość użytkowników nie zostanie dotknięta tą zmianą, ponieważ obsługują ją wszystkie nowoczesne systemy operacyjne TLS 1.2. Użytkownicy systemu Windows 7 mogą upewnić się, że wymagana aktualizacja została zastosowana w ich systemach, ale powinni zdecydowanie rozważyć aktualizację do systemu Windows 10 jako wsparcie dla systemu Windows 7 (w tym poprawki zabezpieczeń) zakończony już 14 stycznia 2020 r.

Subskrybuj biuletyn SSL.com

Nie przegap nowych artykułów i aktualizacji z SSL.com

Będziemy wdzięczni za Twoją opinię

Weź udział w naszej ankiecie i daj nam znać, co myślisz o swoim ostatnim zakupie.