Witamy w kwietniowym wydaniu podsumowania bezpieczeństwa SSL.com! Wielu z nas zostało uwięzionych w ciągu ostatniego miesiąca, ale życie online wciąż się rozwija, co oznacza, że mamy wiele do podsumowania, jeśli chodzi o bezpieczeństwo cyfrowe. W tym miesiącu przyjrzymy się:
- Microsoft odkłada TLS Wycofanie 1.0 i 1.0
- Tryb tylko HTTPS w przeglądarce Firefox 76
- Rozszerzony dostęp do certyfikatu klienta dla przeglądarki Firefox 75
- Otwarta alternatywa dla Zoom
Microsoft odkłada TLS Wycofanie 1.0 i 1.1
Chociaż Microsoft planował wyłączyć Transport Layer Security (TLS) wersje 1.0 i 1.1 tej wiosny, firma ogłosił że „w świetle bieżących wydarzeń” plan ten zostanie teraz przesunięty na koniec roku.
Chociaż może to brzmieć jak wygodna wymówka, by nie podejmować działań, raporty ghacks.net powszechne zobowiązanie przeglądarek do wyłączenia protokołów bezpieczeństwa rzeczywiście stało się problemem podczas pandemii. Piszą:
Niektórzy, jak Mozilla, kontynuowali tę zmianę, ale wycofali ją, gdy stało się jasne, że niektóre strony rządowe nadal polegały na tych protokołach. Użytkownicy przeglądarki Firefox nie mogli już uzyskać dostępu do tych witryn z powodu wyłączonych protokołów. Mozilla ponownie włączyła protokoły, aby zapewnić użytkownikom Firefox na całym świecie dostęp do ważnych stron w czasie kryzysu.
W tej chwili Microsoft planuje wydać nową wersję Microsoft Edge 84r opartą na Chromium w lipcu TLS 1.0 i 1.1 będą domyślnie wyłączone. Microsoft Internet Explorer 11 i Classic Microsoft Edge wyłączy protokoły 8 września.
Firefox 76 otrzymuje opcjonalny tryb tylko HTTPS
Mozilla ogłosiła, że zaoferuje użytkownikom Tryb tylko HTTPS w wersji 76 przeglądarki Firefox. Według Softpedii funkcja posłuży do przepchnięcia kilku maruderów przywiązujących się do HTTP do bezpiecznego HTTPS protokół. Po aktywacji w przeglądarce strony HTTP nie będą się już ładować. Zamiast tego przeglądarka spróbuje zaktualizować połączenie do HTTPS. Jeśli to nie jest dostępne, na razie użytkownicy otrzymają ostrzeżenie „Bezpieczne połączenie nie powiodło się”, które można zignorować lub zignorować.
Firefox 76 będzie teraz oferował tylko bardziej bezpieczne przeglądanie jako opcję - nie domyślnie - więc użytkownicy będą musieli wyrazić zgodę na korzystanie wyłącznie z HTTPS.
Certyfikaty klienta uproszczone w przeglądarce Firefox 75
Więcej dobrych wiadomości o Firefoksie Ogłoszono Mozillę że będą upraszczać korzystanie z certyfikatu klienta w wersji 75 przeglądarki, umożliwiając jej dostęp do magazynu certyfikatów systemu operacyjnego w systemie Windows i macOS. Do tego momentu użytkownicy Firefoksa musieli pracować z certyfikatami klienta w przeglądarce, ładując bibliotekę innej firmy w celu komunikacji z tokenami sprzętowymi lub importując certyfikaty i klucze prywatne do własnego magazynu certyfikatów przeglądarki. To nie jest najbezpieczniejszy sposób radzenia sobie z różnymi problemami i może również powodować problemy ze stabilnością.
Teraz, podobnie jak Chrome i inne przeglądarki, Firefox opracował własną bibliotekę do współpracy z przechowywaniem certyfikatów systemu operacyjnego. Z bloga:
Zamiast ładować biblioteki innych firm do komunikacji z tokenami sprzętowymi, Firefox może przekazać to zadanie systemowi operacyjnemu. Ponadto, zamiast zmuszać użytkownika do eksportowania certyfikatów klienta i ponownego importowania ich do profilu Firefox, Firefox może bezpośrednio szukać tych certyfikatów. Oprócz ochrony kluczy prywatnych ten nowy mechanizm umożliwia Firefoxowi korzystanie z certyfikatów klienta z kluczami niemożliwymi do eksportu… Oczekujemy, że ta funkcja będzie bardzo korzystna dla naszych użytkowników korporacyjnych, którzy wcześniej bardzo się starali skonfigurować Firefoksa do pracy w swoim środowisku .
Jitsi oferuje otwartą alternatywę dla zoomu
Zoom napisał wiele nagłówków w zeszłym miesiącu. Po pierwsze, wszyscy wskoczyli na Zoom, aby połączyć się z pracą, przyjaciółmi i rodziną z domu, mając rozkaz pozostania w domu, aby zapobiec rozprzestrzenianiu się koronawirusa. Następnie wszyscy uciekli, gdy pojawiły się problemy z bezpieczeństwem i nad nimi pracowano. Tymczasem pojawiły się alternatywy.
Spotkanie Jitsi od 8 × 8 oferuje opcję open source do wideokonferencji, która ma funkcje takie jak ochrona hasłem. I, jak notatki przewodowe, istnieją wyraźne zalety posiadania oprogramowania typu open source, które umożliwia modyfikowanie przez społeczność programistów:
Fakt, że każdy może modyfikować i udostępniać kod Jitsi oznacza, że inni mogą wbudować to narzędzie w swoje oprogramowanie. WeSchool to zrobił. Podobnie zrobiła usługa czatu typu open source Zamieszki, który używa Jitsi do czatu wideo. Ivov mówi, że 8 × 8 korzysta z tego rodzaju projektów, ponieważ testuje, jak kod Jitsi działa na różnych urządzeniach iw różnych środowiskach. Pomaga to rdzennemu zespołowi programistów Jitsi ulepszyć oprogramowanie zarówno dla użytkowników open source, jak i płatnych klientów 8 × 8.
W tej chwili Jitsi oferuje kompleksowe szyfrowanie tylko dla swoich połączeń jeden na jeden, a nie konferencje więcej niż dwóch osób (które wymagają użycia scentralizowanego serwera, który musi odszyfrować dane) / Jednak działają w sprawie rozszerzenia kompleksowego szyfrowania na większe połączenia.