Bem-vindo a esta edição de fevereiro do Security Roundup de SSL.com. Pode ser nosso mês mais curto, mas ainda estava cheio de desenvolvimentos em SSL /TLS, certificados digitais e segurança de rede. Neste mês, abordaremos:
- Apple limita SSL /TLS Certificados para pouco mais de um ano
- DNS sobre HTTPS agora padrão do Firefox
- Mais escrita na parede para TLS 1.0 e 1.1
- Chrome irá bloquear downloads inseguros
Apple lança novo prazo para certificados
Como já relatamos, A Apple recentemente optou por limitar SSL /TLS vida útil do certificado a pouco mais de um ano. No fórum CA / Browser (CA / B) de fevereiro em Bratislava, Eslováquia, a Apple anunciou que, a partir de 1º de setembro de 2020, seus dispositivos e o navegador Safari não aceitariam mais certificados com vida útil superior a 398 dias. Ainda não houve nenhum anúncio oficial escrito da Apple. (Update: Apple anunciou mudança de política em seu site em 3 de março de 2020.) O registro notas:
Cortar a vida útil dos certificados tem sido meditado pela Apple, Google e outros membros do CA / Browser há meses. A política tem suas vantagens e desvantagens ... O objetivo da mudança é melhorar a segurança do site, garantindo que os desenvolvedores usem certificados com os padrões criptográficos mais recentes e reduzir o número de certificados antigos e negligenciados que podem ser roubados e reutilizados para ataques de phishing e malware drive-by. Se boffins ou malfeitores são capazes de quebrar a criptografia em um SSL /TLS certificados padrão e de curta duração garantirão que as pessoas migrem para certificados mais seguros em aproximadamente um ano.
Que uma mudança tão significativa esteja acontecendo dessa maneira é algo surpreendente, mas a mudança em si não é. Duração mais curta do certificado, conforme observado por O registro, são algo que a indústria tem considerado seriamente recentemente. Uma votação no Fórum CA / B de setembro poderia ter alterado o período máximo de validade dos certificados do atual padrão de 825 dias em um ano, mas esse voto falhou. Dessa vez, não houve votação - uma empresa tão influente quanto a Apple pode mudar o padrão por conta própria.
DNS sobre HTTPS agora Firefox padrão
Este mês, a Mozilla definiu DNS sobre HTTPS (DoH) como padrão para usuários americanos do navegador Firefox. Para quem é novo no conceito: o DoH criptografa informações de DNS que geralmente não são criptografadas (mesmo em sites seguros) e impede que outras pessoas vejam os sites que as pessoas estão visitando. Para algumas entidades que gostam de coletar dados sobre usuários (como o governo ou aqueles que esperam lucrar com a venda desses dados), isso é uma má notícia. E alguns também argumentam que a opacidade aumentada impede espionagem útil que rastreia criminosos e permite o controle dos pais na navegação. Outros, como Mozilla (claramente) e o Electronic Frontier Foundation apregoar os benefícios do DoH, enfatizando que criptografar o tráfego da web melhora a privacidade do público e impede tentativas de rastrear e censurar pessoas pelo governo. O Firefox da Mozilla é o primeiro navegador a adotar o padrão por padrão.
Firefox e Slack já tiveram isso com TLS 1.0 e 1.1
Em um movimento inequívoco para se livrar de TLS 1.0 e 1.1 inteiramente, Mozilla agora está exigindo uma substituição manual de usuários que tentam se conectar a sites usando os protocolos. A mudança é um passo em direção ao objetivo declarado de bloquear completamente esses sites. Como The Verge relatórios, a mudança significa o que é "verdadeiramente o fim dos tempos" para TLS e 1.0 e 1.1, e o Mozilla se juntará a outros em um futuro próximo:
O suporte completo será removido do Safari nas atualizações para Apple iOS e macOS a partir de março de 2020. ' O Google disse que removerá o suporte para TLS 1.0 e 1.1 no Chrome 81 (previsto para 17 de março). Microsoft dito faria o mesmo 'no primeiro semestre de 2020'.
A Mozilla não é o único grande fornecedor de software que está afastando todo mundo TLS 1.0 e 1.1. Este mês, Slack terminou o suporte para eles também; a empresa diz que está fazendo a alteração "para se alinhar às melhores práticas do setor em segurança e integridade de dados".
Chrome para bloquear downloads inseguros
Recentemente, os navegadores estão fazendo a mudança para alertar os usuários sobre conteúdo misto. O conteúdo misto ocorre quando os sites vinculam a conteúdo HTTP inseguro (como imagens e downloads) de páginas HTTPS, “misturando” os dois protocolos de uma forma que não é óbvia para os usuários sem um aviso (examinamos o conceito mais profundamente neste artigo) Agora, o Chrome está levando as coisas um passo adiante e impedirá o download de conteúdo misto. Enquanto o tecnologia tempos relatórios:
A partir do Chrome 82, com lançamento previsto para abril, o Chrome avisará os usuários se eles estiverem prestes a baixar executáveis de conteúdo misto de um site estável ... Então, quando a versão 83 for lançada, os downloads executáveis podem ser bloqueados, e o cuidado pode ser implementado para arquivar arquivos. Os arquivos PDF e .Doc receberão o aviso no Chrome 84, com arquivos de áudio, imagens, texto e vídeo mostrando-o com o auxílio da 85ª versão. Por fim, todos os downloads de conteúdo misto - um arquivo não estável proveniente de um site estável - podem ser bloqueados a partir da descarga do Chrome 86.
Aqui está um gráfico útil do Google, mostrando a linha do tempo de aviso / bloqueio para diferentes tipos de conteúdo misto: