Resumo de segurança de fevereiro de 2020

O resumo de fevereiro cobre certificados de vida mais curta no Apple Safari, DoH no Firefox, o declínio de TLS 1.0 e 1.1 e bloqueio de conteúdo misto no Chrome.

Conteúdo Relacionado

Quer continuar aprendendo?

Assine a newsletter de SSL.com, mantenha-se informado e seguro.

Bem-vindo a esta edição de fevereiro do Security Roundup de SSL.com. Pode ser nosso mês mais curto, mas ainda estava cheio de desenvolvimentos em SSL /TLS, certificados digitais e segurança de rede. Neste mês, abordaremos:

Apple lança novo prazo para certificados

Como já relatamos, A Apple recentemente optou por limitar SSL /TLS vida útil do certificado a pouco mais de um ano. No fórum CA / Browser (CA / B) de fevereiro em Bratislava, Eslováquia, a Apple anunciou que, a partir de 1º de setembro de 2020, seus dispositivos e o navegador Safari não aceitariam mais certificados com vida útil superior a 398 dias. Ainda não houve nenhum anúncio oficial escrito da Apple. (Update: Apple anunciou mudança de política em seu site em 3 de março de 2020.) O registro notas:

Cortar a vida útil dos certificados tem sido meditado pela Apple, Google e outros membros do CA / Browser há meses. A política tem suas vantagens e desvantagens ... O objetivo da mudança é melhorar a segurança do site, garantindo que os desenvolvedores usem certificados com os padrões criptográficos mais recentes e reduzir o número de certificados antigos e negligenciados que podem ser roubados e reutilizados para ataques de phishing e malware drive-by. Se boffins ou malfeitores são capazes de quebrar a criptografia em um SSL /TLS certificados padrão e de curta duração garantirão que as pessoas migrem para certificados mais seguros em aproximadamente um ano.

Que uma mudança tão significativa esteja acontecendo dessa maneira é algo surpreendente, mas a mudança em si não é. Duração mais curta do certificado, conforme observado por O registro, são algo que a indústria tem considerado seriamente recentemente. Uma votação no Fórum CA / B de setembro poderia ter alterado o período máximo de validade dos certificados do atual padrão de 825 dias em um ano, mas esse voto falhou. Dessa vez, não houve votação - uma empresa tão influente quanto a Apple pode mudar o padrão por conta própria.

Conclusão de SSL.com: Embora reduzir o tempo de vida útil do certificado tenha sido um ponto de conversa, ainda não houve um movimento de consenso para fazê-lo em todo o setor. Esse movimento da Apple provavelmente poderia forçar esse consenso e mudar o padrão. Não está claro que efeito cascata a metade terá, mas parece que estamos prestes a descobrir!

DNS sobre HTTPS agora Firefox padrão

Este mês, a Mozilla definiu DNS sobre HTTPS (DoH) como padrão para usuários americanos do navegador Firefox. Para quem é novo no conceito: o DoH criptografa informações de DNS que geralmente não são criptografadas (mesmo em sites seguros) e impede que outras pessoas vejam os sites que as pessoas estão visitando. Para algumas entidades que gostam de coletar dados sobre usuários (como o governo ou aqueles que esperam lucrar com a venda desses dados), isso é uma má notícia. E alguns também argumentam que a opacidade aumentada impede espionagem útil que rastreia criminosos e permite o controle dos pais na navegação. Outros, como Mozilla (claramente) e o Electronic Frontier Foundation apregoar os benefícios do DoH, enfatizando que criptografar o tráfego da web melhora a privacidade do público e impede tentativas de rastrear e censurar pessoas pelo governo. O Firefox da Mozilla é o primeiro navegador a adotar o padrão por padrão.

Conclusão de SSL.com: Como defensores da privacidade e da criptografia mais robusta, essa mudança da Mozilla nos parece uma coisa amplamente positiva que certamente será contestada por pessoas que lucram com a coleta e venda de dados coletados em usuários de internet desavisados.

Firefox e Slack já tiveram isso com TLS 1.0 e 1.1

Em um movimento inequívoco para se livrar de TLS 1.0 e 1.1 inteiramente, Mozilla agora está exigindo uma substituição manual de usuários que tentam se conectar a sites usando os protocolos. A mudança é um passo em direção ao objetivo declarado de bloquear completamente esses sites. Como The Verge relatórios, a mudança significa o que é "verdadeiramente o fim dos tempos" para TLS e 1.0 e 1.1, e o Mozilla se juntará a outros em um futuro próximo:

O suporte completo será removido do Safari nas atualizações para Apple iOS e macOS a partir de março de 2020. ' O Google disse que removerá o suporte para TLS 1.0 e 1.1 no Chrome 81 (previsto para 17 de março). Microsoft dito faria o mesmo 'no primeiro semestre de 2020'.

A Mozilla não é o único grande fornecedor de software que está afastando todo mundo TLS 1.0 e 1.1. Este mês, Slack terminou o suporte para eles também; a empresa diz que está fazendo a alteração "para se alinhar às melhores práticas do setor em segurança e integridade de dados".

Conclusão de SSL.com: A mensagem aqui é bastante direta. Pare de usar TLS 1.0 e 1.1 em seus sites e mantenha seus navegadores atualizados.

Chrome para bloquear downloads inseguros

Recentemente, os navegadores estão fazendo a mudança para alertar os usuários sobre conteúdo misto. O conteúdo misto ocorre quando os sites vinculam a conteúdo HTTP inseguro (como imagens e downloads) de páginas HTTPS, “misturando” os dois protocolos de uma forma que não é óbvia para os usuários sem um aviso (examinamos o conceito mais profundamente neste artigo) Agora, o Chrome está levando as coisas um passo adiante e impedirá o download de conteúdo misto. Enquanto o tecnologia tempos relatórios:

A partir do Chrome 82, com lançamento previsto para abril, o Chrome avisará os usuários se eles estiverem prestes a baixar executáveis ​​de conteúdo misto de um site estável ... Então, quando a versão 83 for lançada, os downloads executáveis ​​podem ser bloqueados, e o cuidado pode ser implementado para arquivar arquivos. Os arquivos PDF e .Doc receberão o aviso no Chrome 84, com arquivos de áudio, imagens, texto e vídeo mostrando-o com o auxílio da 85ª versão. Por fim, todos os downloads de conteúdo misto - um arquivo não estável proveniente de um site estável - podem ser bloqueados a partir da descarga do Chrome 86.

Aqui está um gráfico útil do Google, mostrando a linha do tempo de aviso / bloqueio para diferentes tipos de conteúdo misto:

Programação para bloquear conteúdo misto no Chrome

Conclusão de SSL.com: Se você possui um site que serve recursos HTTP de páginas HTTPS, corte-o! Isso pode te bloquear.
Obrigado por escolher SSL.com! Se você tiver alguma dúvida, entre em contato conosco por e-mail em Support@SSL.com, ligar 1-877-SSL-SECUREou clique no link de bate-papo no canto inferior direito desta página.


Adoraríamos receber seu feedback

Responda à nossa pesquisa e deixe-nos saber sua opinião sobre sua compra recente.