April 2020 säkerhetsrundup

Välkommen till aprilversionen av SSL.com: s säkerhetsrundup! Många av oss har samlats in den senaste månaden, men livet på nätet går fortfarande starkt, vilket innebär att vi har mycket att samla när det gäller digital säkerhet. Den här månaden tittar vi på:

Microsoft skjuter upp TLS 1.0 och 1.1 Avskrivning

Även om Microsoft hade planerat att inaktivera Transport Layer Security (TLS) versionerna 1.0 och 1.1 någon gång i vår, företaget meddelade att ”i ljuset av aktuella händelser” kommer planen nu att skjutas upp till slutet av året.

Det kan låta som en bekväm ursäkt för att inte vidta åtgärder, ghacks.net rapporter att en utbredd löfte bland webbläsare att inaktivera säkerhetsprotokollen blev verkligen ett problem under pandemin. De skriver:

Vissa, som Mozilla, fortsatte med förändringen men återvände den när det blev klart att vissa regeringswebbplatser fortfarande förlitade sig på dessa protokoll. Användare av Firefox kunde inte komma åt dessa webbplatser längre på grund av inaktiverade protokoll. Mozilla aktiverade protokollen igen för att se till att Firefox-användare över hela världen kan komma åt viktiga webbplatser i en krisetid.

Just nu planerar Microsoft att släppa en ny Chromium-baserad Microsoft Edge-version 84r i juli där TLS 1.0 och 1.1 inaktiveras som standard. Microsoft Internet Explorer 11 och Classic Microsoft Edge inaktiverar protokollen den 8 september.

SSL.com: s takeaway: Vi har varnat dig länge att dessa protokoll är föråldrade och osäkra, och denna senaste rynka förändrar inte det. Eftersom det bara finns planer för att inaktivera dem som standard i webbläsare, inte att ta bort dem helt, kan de alltid aktiveras om absolut nödvändigt. Men gör det bara om det verkligen behövs.

Firefox 76 får valfritt HTTPS-läge

Mozilla har meddelat att de kommer att erbjuda användare en HTTPS-läge i version 76 av Firefox-webbläsaren. Enligt Softpedia funktionen kommer att tjäna till att driva de få stragglers som klamrar sig fast till HTTP över till det säkra HTTPS protokoll. När HTTP-webbplatser aktiverats i webbläsaren laddas inte längre. Istället kommer webbläsaren att försöka uppgradera anslutningen till HTTPS. Om det inte är tillgängligt kommer användare för tillfället att få en "Secure Connection Failed" -varning som antingen kan följas eller ignoreras.

Firefox 76 kommer bara att erbjuda den här säkrare webbläsningen som ett alternativ just nu - inte som standard - så användarna måste välja in HTTPS-upplevelsen.

SSL.com: s takeaway:  Om du vill konfigurera Firefox för att endast använda HTTPS kommer vi att tillhandahålla detaljerade instruktioner efter det schemalagda släppdatumet, som för närvarande är 5 maj 2020.

Klientcertifikat förenklat med Firefox 75

I fler goda nyheter om Firefox, Mozilla meddelade att de kommer att förenkla användningen av klientcertifikat i version 75 av webbläsaren genom att låta den komma åt operativsystemets certifikatlager på Windows och macOS. Fram till denna tidpunkt har Firefox-användare varit tvungna att arbeta med klientcertifikat i webbläsaren genom att ladda ett tredjepartsbibliotek för att kommunicera med hårdvarutoken eller importera certifikat och privata nycklar till webbläsarens eget certifikatlager. Det är inte det säkraste sättet att gå om saker och kan också orsaka stabilitetsproblem.

 Nu, precis som Chrome och andra webbläsare, har Firefox utvecklat ett eget bibliotek för att gränssnitt med OS-certifikatlagring. Från bloggen:

I stället för att ladda tredjepartsbibliotek för att kommunicera med hårdvarutokens, kan Firefox delegera denna uppgift till operativsystemet. I stället för att tvinga användaren att exportera klientcertifikat och importera dem till sin Firefox-profil kan Firefox leta efter dessa certifikat direkt. Förutom att skydda privata nycklar tillåter denna nya mekanism Firefox att använda klientcertifikat med oexportabla nycklar ... Vi förväntar oss att den här funktionen kommer att vara till stor fördel för våra företag som tidigare har gjort mycket för att konfigurera Firefox för att fungera i sin miljö .

SSL.com: s takeaway: Klientautentiseringscertifikat lägger till ytterligare en säker autentiseringsfaktor när du loggar in på webbapplikationer. Vi är glada att Mozilla arbetar för att göra processen enklare för Firefox-användare och hoppas att Mozilla planerar en liknande uppgradering för den Thunder e-postklient.

Jitsi erbjuder ett alternativ med öppen källkod för zoom

Zoom gjorde många rubriker förra månaden. Först hoppade alla på Zoom för att ansluta till arbete, vänner och familj hemifrån medan de fick order om att stanna hemma för att förhindra spridning av coronavirus. Sedan sprang alla när säkerhetsproblem uppstod och arbetades med. Samtidigt dök upp alternativ.

Jitsi träffas från 8 × 8 erbjuder ett open source-alternativ för videokonferenser som har funktioner som lösenordsskydd. Och, som trådbundna anteckningar, det finns distinkta fördelar med att ha öppen källkodsprogramvara som möjliggör ändringar av utvecklargemenskapen:

Det faktum att vem som helst kan modifiera och dela Jitsis kod innebär att andra kan bygga in verktyget i sin programvara. WeSchool gjorde det. Så gjorde även öppen källkodstjänst Riot, som använder Jitsi för sin videochattkomponent. Ivov säger att 8 × 8 drar nytta av den här typen av projekt eftersom de testar hur Jitsis kod fungerar på olika enheter och i olika miljöer. Det hjälper Jitsis utvecklingsteam att förbättra programvaran för både open source-användare och betalda 8 × 8-kunder.

Just nu erbjuder Jitsi bara en-till-ende-kryptering för sina en-till-en-samtal, inte konferenser för mer än två personer (som kräver användning av en centraliserad server som måste dekryptera data) / De arbetar dock på att utvidga en-till-ende-kryptering till de större samtal.

SSL.com: s takeaway:  SSL.com stöder end-to-end-kryptering för videosamtal och utveckling av säkra och privata open source-verktyg för vad som har blivit en viktig tjänst. Eftersom videokonferenser har blivit ett viktigt kommunikationsverktyg i alla våra liv kommer vi att följa Jitsis utveckling noga.
Tack för att du valde SSL.com! Om du har några frågor, vänligen kontakta oss via e-post på Support@SSL.com, ring upp 1-877-SSL-SECUREeller klicka bara på chattlänken längst ned till höger på den här sidan. Du kan också hitta svar på många vanliga supportfrågor i vår kunskapsbas.


Prenumerera på SSL.coms nyhetsbrev

Missa inte nya artiklar och uppdateringar från SSL.com

Vi vill gärna ha din feedback

Följ vår undersökning och låt oss veta vad du tycker om ditt senaste köp.