Добро пожаловать в февральский выпуск обзора безопасности SSL.com. Это может быть наш самый короткий месяц, но он все еще был полон разработок в области SSL /TLS, цифровые сертификаты и безопасность сети. В этом месяце мы рассмотрим:
- Apple ограничивает SSL /TLS Сертификаты чуть более года
- DNS через HTTPS теперь по умолчанию в Firefox
- Больше писать на стене для TLS 1.0 и 1.1
- Chrome заблокирует небезопасные загрузки
Apple устанавливает новый срок для сертификатов
Как мы уже сообщали, Apple недавно решила ограничить SSL /TLS Срок действия сертификата немногим более года. На февральском форуме CA / Browser (CA / B) в Братиславе, Словакия, Apple объявила, что с 1 сентября 2020 года их устройства и браузер Safari больше не будут принимать сертификаты со сроком службы более 398 дней. Официального письменного объявления от Apple пока нет. (Обновление: Apple объявило изменение политики на своем веб-сайте 3 марта 2020 года.) Как Регистр ноты:
Apple, Google и другие члены CA / Browser уже несколько месяцев обсуждают сокращение срока службы сертификатов. У этой политики есть свои преимущества и недостатки ... Цель этого шага - повысить безопасность веб-сайтов, убедившись, что разработчики используют сертификаты с последними криптографическими стандартами, и уменьшить количество старых, забытых сертификатов, которые потенциально могут быть украдены и повторно использованы для фишинговые и скрытые вредоносные атаки. Если злоумышленники или злоумышленники могут взломать криптографию в SSL /TLS Стандартные краткосрочные сертификаты обеспечат переход людей на более безопасные сертификаты в течение примерно года.
То, что такой значительный сдвиг происходит таким образом, несколько удивительно, но сам сдвиг - нет. Более короткие сроки действия сертификатов, как отмечено РегистрЭто то, что отрасль серьезно рассматривает в последнее время. В сентябре бюллетень CA / B Forum мог изменить максимальный срок действия сертификатов с текущего стандартного 825-дневного срока в один год, но это голосование не удалось, На этот раз голосование не заняло - компания, столь влиятельная, как Apple, может самостоятельно изменить стандарт.
DNS через HTTPS теперь Firefox по умолчанию
В этом месяце набор Mozilla DNS через HTTPS (DoH) по умолчанию для американских пользователей своего браузера Firefox, Для новичков в этой концепции: DoH шифрует информацию DNS, которая обычно не зашифрована (даже на защищенных веб-сайтах), и не позволяет другим видеть, какие веб-сайты посещают люди. Для некоторых организаций, которые любят собирать данные о пользователях (например, правительство или те, кто надеется получить прибыль от продажи указанных данных), это плохие новости. А некоторые также утверждают, что повышенная непрозрачность предотвращает полезный шпионаж, который отслеживает преступников и обеспечивает родительский контроль при просмотре. Другие, как Mozilla (ясно) и Electronic Frontier Foundation рекламируют преимущества DoH, подчеркивая, что шифрование веб-трафика улучшает конфиденциальность для общественности и препятствует попыткам правительства отслеживать и подвергать цензуре людей. Mozilla Firefox - первый браузер, который по умолчанию принимает этот стандарт.
У Firefox и Slack было это с TLS 1.0 и 1.1
В однозначном движении, чтобы избавиться от TLS 1.0 и 1.1 полностью, Mozilla сейчас требует ручное переопределение пользователей, пытающихся подключиться к веб-сайтам с использованием протоколов. Это изменение является шагом к объявленной цели полной блокировки таких сайтов. Так как Грань отчетыизменения означают, что является «действительно концом» для TLS и 1.0 и 1.1, и Mozilla присоединится к другим в ближайшем будущем:
Полная поддержка будет удалена из Safari в обновлениях для Apple iOS и macOS, начиная с марта 2020 года. ' Google сказал, что удалит поддержку TLS 1.0 и 1.1 в Chrome 81 (ожидается 17 марта). Microsoft — сказал он сделал бы то же самое «в первой половине 2020 года».
Mozilla - не единственный крупный поставщик программного обеспечения, который отталкивает всех TLS 1.0 и 1.1. В этом месяце Slack прекращена поддержка для них, а также; Компания заявляет, что вносит изменения, «чтобы соответствовать лучшим отраслевым практикам в области безопасности и целостности данных».
Chrome блокирует небезопасные загрузки
В последнее время браузеры предпринимают шаги, чтобы предупредить пользователей о смешанный контент. Смешанный контент возникает, когда веб-сайты ссылаются на небезопасный HTTP-контент (например, изображения и загрузки) со страниц HTTPS, «смешивая» два протокола таким образом, который не очевиден для пользователей без предупреждения (мы рассмотрели эту концепцию более глубоко. в этой статье). Теперь Chrome делает еще один шаг вперед и будет блокировать загрузку смешанного контента. Как Технология Таймс отчеты:
Начиная с Chrome 82, который должен быть выпущен в апреле, Chrome будет предупреждать пользователей, если они собираются загружать исполняемые файлы смешанного содержания со стабильного веб-сайта ... Затем, когда выйдет версия 83, загрузки этих исполняемых файлов могут быть заблокированы, и предупреждение может быть реализовано для архивирования файлов. Файлы PDF и .Doc получат предупреждение в Chrome 84 с аудио, изображениями, текстом и видео, отображаемыми с помощью 85-й версии. Наконец, все загрузки смешанного контента - нестабильного файла, поступающего со стабильного сайта - могут быть заблокированы после выпуска Chrome 86.
Вот удобная диаграмма от Google, показывающая их график предупреждения / блокировки для различных типов смешанного контента:
