Resumo de segurança de abril de 2020

Bem-vindo a esta edição de abril do Security Roundup de SSL.com! Muitos de nós foram presos no mês passado, mas a vida on-line ainda está forte, o que significa que temos muito o que arredondar quando se trata de segurança digital. Este mês, vamos dar uma olhada em:

Adiamentos da Microsoft TLS Reprovação 1.0 e 1.1

Embora a Microsoft tenha planejado desativar o Transport Layer Security (TLS) versões 1.0 e 1.1 em algum momento da primavera, a empresa anunciou que “à luz dos eventos atuais” esse plano será adiado para o final do ano.

Embora isso possa parecer uma desculpa conveniente para não agir, relatórios ghacks.net que uma promessa generalizada entre os navegadores de desativar os protocolos de segurança se tornou um problema durante a pandemia. Eles escrevem:

Alguns, como a Mozilla, prosseguiram com a mudança, mas a reverteram quando ficou claro que alguns sites do governo ainda contavam com esses protocolos. Os usuários do Firefox não conseguiram mais acessar esses sites por causa dos protocolos desabilitados. A Mozilla reativou os protocolos para garantir que os usuários do Firefox em todo o mundo possam acessar sites importantes em tempos de crise.

No momento, a Microsoft planeja lançar uma nova versão do Microsoft Edge 84r baseada em Chromium em julho, onde TLS 1.0 e 1.1 serão desativados por padrão. O Microsoft Internet Explorer 11 e o Microsoft Edge clássico desativarão os protocolos em 8 de setembro.

Conclusão de SSL.com: Estamos avisando há algum tempo que esses protocolos estão desatualizados e inseguros, e essa última ruga não muda isso. Como existem apenas planos para desativá-los por padrão nos navegadores, para não removê-los completamente, eles sempre podem ser ativados se for absolutamente necessário. Mas faça isso apenas se for realmente necessário.

Firefox 76 Obtém o Modo Somente HTTPS Opcional

A Mozilla anunciou que oferecerá aos usuários uma Modo somente HTTPS na versão 76 do navegador Firefox. De acordo com a Softpedia o recurso servirá para empurrar os poucos retardatários que se apegam ao HTTP para o local seguro HTTPS protocolo. Uma vez ativado no navegador, os sites HTTP não carregam mais. Em vez disso, o navegador tentará atualizar a conexão para HTTPS. Se isso não estiver disponível, por enquanto os usuários receberão um aviso de "Falha na conexão segura" que pode ser atendida ou ignorada.

O Firefox 76 oferecerá apenas essa navegação mais segura como uma opção no momento - e não como padrão - para que os usuários tenham que optar pela experiência apenas com HTTPS.

Conclusão de SSL.com:  Se desejar configurar o Firefox para usar apenas HTTPS, forneceremos instruções detalhadas após a data de lançamento agendada, que atualmente é 5 de maio de 2020.

Certificados de cliente simplificados no Firefox 75

Em mais boas notícias sobre o Firefox, Mozilla anunciada que eles simplificarão o uso do certificado do cliente na versão 75 do navegador, permitindo que ele acesse o armazenamento de certificados do sistema operacional no Windows e macOS. Até este ponto, os usuários do Firefox precisavam trabalhar com certificados de cliente no navegador carregando uma biblioteca de terceiros para se comunicar com tokens de hardware ou importando certificados e chaves privadas para o armazenamento de certificados do próprio navegador. Essa não é a maneira mais segura de fazer as coisas e também pode causar problemas de estabilidade.

 Agora, como o Chrome e outros navegadores, o Firefox desenvolveu sua própria biblioteca para interagir com o armazenamento de certificados do SO. Do blog:

Em vez de carregar bibliotecas de terceiros para se comunicar com tokens de hardware, o Firefox pode delegar essa tarefa ao sistema operacional. Além disso, em vez de forçar o usuário a exportar certificados de clientes e reimportá-los para o perfil do Firefox, o Firefox pode procurar esses certificados diretamente. Além de proteger chaves privadas, esse novo mecanismo permite que o Firefox faça uso de certificados de clientes com chaves não exportáveis ​​... Esperamos que esse recurso seja de grande benefício para os usuários corporativos que já fizeram de tudo para configurar o Firefox para funcionar em seu ambiente .

Conclusão de SSL.com: Os certificados de autenticação de cliente adicionam um fator adicional de autenticação segura ao fazer login em aplicativos da web. Estamos felizes que a Mozilla esteja trabalhando para tornar o processo mais simples para os usuários do Firefox e esperamos que a Mozilla planeje uma atualização semelhante para o seu Thunderbird cliente de email.

Jitsi oferece uma alternativa de código aberto ao zoom

O Zoom ganhou muitas manchetes no mês passado. Primeiro, todo mundo pulou no Zoom para se conectar ao trabalho, amigos e familiares em casa, sob ordens de ficar em casa para impedir a propagação do coronavírus. Todos fugiram quando surgiram problemas de segurança. Enquanto isso, surgiram alternativas.

Jitsi meet de 8 × 8 oferece uma opção de código aberto para videoconferência que possui recursos como proteção por senha. E, como notas com fio, há vantagens distintas em ter um software de código aberto que permita modificações pela comunidade de desenvolvedores:

O fato de alguém poder modificar e compartilhar o código do Jitsi significa que outros podem incorporar a ferramenta em seu software. A WeSchool fez isso. O mesmo aconteceu com o serviço de software de bate-papo de código aberto Tumulto, que usa Jitsi para seu componente de chat de vídeo. Ivov diz que o 8 × 8 se beneficia desse tipo de projeto porque ele testa o desempenho do código do Jitsi em diferentes dispositivos e ambientes. Isso ajuda a equipe de desenvolvimento do Jitsi principal a melhorar o software para usuários de código aberto e clientes pagos de 8 × 8.

No momento, o Jitsi oferece apenas criptografia de ponta a ponta para suas chamadas individuais, não para conferências de mais de duas pessoas (que exigem o uso de um servidor centralizado que precisa descriptografar os dados) / No entanto, eles estão trabalhando na expansão da criptografia de ponta a ponta para as chamadas maiores.

Conclusão de SSL.com:  SSL.com suporta criptografia ponta a ponta para chamadas de vídeo e o desenvolvimento de ferramentas de código aberto privadas e seguras para o que se tornou um serviço essencial. Como a videoconferência se tornou uma ferramenta de comunicação crucial em todas as nossas vidas, estaremos acompanhando de perto o desenvolvimento do Jitsi.
Obrigado por escolher SSL.com! Se você tiver alguma dúvida, entre em contato conosco por e-mail em Support@SSL.com, ligar 1-877-SSL-SECUREou apenas clique no link de bate-papo no canto inferior direito desta página. Você também pode encontrar respostas para muitas perguntas de suporte comuns em nosso Base de Conhecimento.


Inscreva-se no boletim informativo de SSL.com

Não perca novos artigos e atualizações de SSL.com

Adoraríamos receber seu feedback

Responda à nossa pesquisa e deixe-nos saber sua opinião sobre sua compra recente.