Juli 2020 säkerhetsrundup

Julens Roundup täcker MS Edge-säkerhet, blandat innehåll i Chrome 85, 398-dagars certifikat i Chrome och Firefox och TLS 1.0 och 1.1 avskrivning i MS Office.

Relaterat innehåll

Vill du fortsätta lära dig?

Prenumerera på SSL.coms nyhetsbrev, håll dig informerad och säker.

Rapportera live från mitten av sommaren, vi är glada att ge dig en juli Roundup från världen av digital säkerhet! Den här månaden tittar vi på:

Behöver du ett certifikat? SSL.com erbjuder ett brett utbud av digitala certifikat, inklusive:

JÄMFÖR SSL /TLS INTYG

NSS Labs ger Microsoft Edge högsta betyg för phishing och förebyggande av skadlig programvara

Hittills har Microsoft Edge visat sig vara en seriös konkurrent till mer etablerade webbläsare och nya uppdateringar förstärker bara sin position. EN rapport av Kate O'Flaherty i Forbes konstaterar att det fortfarande kan vara webbläsaren nummer två totalt sett, men de senaste uppdateringarna har gjort det oöverträffat när det gäller säkerhet. Från Forbes-artikeln:

Men en ny rapport av NSS Labs såg faktiskt Microsofts Edge slå Chrome i säkerhetsinsatserna. Eftersom det använder Microsoft Defender Smart Screen, Edge visade sig erbjuda det bästa phishing-skyddet jämfört med de andra testade webbläsarna, vilket blockerade 95.5% av phishing-URL: er. Google, som använder API för säker surfning, kom på andra plats med 86.9%.

Som Microsoft fokuserad webbplats OnMsft rapporter, en annan separat NSS Labs-rapport visar hur Edge också har bättre skydd mot skadlig programvara än konkurrenterna Chrome, Firefox och Opera. Microsoft Edge blockerar 98.5% malware, medan andra plats Firefox blockerar i genomsnitt 86.1%, följt av Google Chrome på 86.0%.

Det är naturligtvis en bra tid att fokusera på webbläsarsäkerhet eftersom mer arbete och operationer flyttas från kontoret till en decentraliserad work-at-home-modell. Vi kommer att hålla ett öga på uppdateringarna som Edge fortsätter att hinna ut och titta när webbläsaren kämpar för att dominera marknaden.

SSL.com: s takeaway: Vi på SSL.com är stora fans av konkurrens, särskilt när det gäller en kamp om säkerhet för användarna. Det är trevligt att se att Microsoft Edge tar säkerhet på allvar med sin nya Chromium-baserade Edge-webbläsare.

Bilder som ska uppgraderas automatiskt till HTTPS i Chrome 85 vid Summer's End

I ytterligare ett steg mot en övergripande implementering av HTTPS kommer nästa större version av Chrome automatiskt att uppgradera bilder som serveras via HTTP från HTTPS webbplatser till det säkrare protokollet. I Chrome 85, som kommer att ha sin stabila utgåva den 25 augusti, kommer HTTPS att vara det enda alternativet för bilder som serveras från HTTPS-webbplatser - om det inte är tillgängligt kommer bilderna helt enkelt inte att visas i Chrome.

Som vanligt Chromium Blog har mer information:

Chrome är nu automatisk uppgradering av bilder serveras via HTTP från HTTPS-webbplatser genom att skriva om webbadresser till HTTPS utan att falla tillbaka till HTTP när säkert innehåll inte är tillgängligt. Chrome har automatiskt uppgraderat ljud- och videoinnehåll sedan version 80.

Det är ett bra steg framåt och en bra påminnelse om eliminera blandat innehåll på webbplatser!

SSL.com: s takeaway:  Om du inte har gjort det ännu eliminerat blandat innehåll från din webbplats, nu är det dags! Och om det inte framgår av denna nya information, se till att alla bilder på dina HTTPS-webbplatser är tillgängliga via HTTPS före 25 augusti, om du vill att de ska ses av Chrome-användare.

Chrome och Firefox följer Apple på 398-dagars certifikat

Det är officiellt. Från och med den 1 september kommer all Apple-programvara (i huvudsak) att avvisa SSL /TLS certifikat som är giltiga i mer än 398 dagar. Branschen har visst att detta skulle hända sedan februari, så även om det fortfarande är anmärkningsvärt, är de verkliga nyheterna att Chrome och Firefox officiellt följer efter, med Mozilla förberedd att byta till 398-certifikat i sin webbläsare, och bekräftelse i Chromium-källkoden att Chrome skulle genomföra samma standard från och med 1 september.

Registeret rapporterade om "snubbning" av 2-åriga certifikat i en artikel av Shaun Nichols om förändringen:

Apple anser att denna policy säkerställer att webbplatser och appar uppdaterar sina certifikat en gång om året, vilket uppmuntrar dem att använda de senaste kryptografiska standarderna och säkerställer att stulna certs inte kan användas för långvariga nätfiske-kampanjer och andra shenanigans eftersom de upphör snart nog.

... Det räcker med att säga att certifikatsäljare irriterades av förändringen. "Apples ensidiga beslut, mot resultatet av omröstningen, gör CA / B-forumet lite värdelöst, ur vår synvinkel", snusade spanska cert biz Firmaprofesional.

Alla tecken pekar på alla som följer Apples ledning till att förkorta certifikatets livslängd. Just nu har Microsoft ännu inte meddelat vad de kommer att göra, men det är lätt att dra slutsatser om att de kommer, med tanke på att företagets Edge-webbläsare använder Chrome som sin motor.

SSL.com: s takeaway: Vi förutspådde att detta sannolikt skulle hända tillbaka i februari, eftersom Apples ensidiga drag för att förkorta certifikatlivslängder har tvingat en ny branschkonsensus. Faktum är att SSL.com redan har gjort det planerade för att följa Apples policy innan ändringen träder i kraft, så SSL.coms kunder påverkas inte av några webbläsare som använder de nya, kortare gränserna för certifikatets livslängd.

Microsoft tvingar avskrivning av TLS 1.0 och 1.1 för Office 365

Efter en pandemirelaterad försening kommer Microsoft officiellt att göra det börja verkställa avskrivningar av TLS 1.0 och 1.1-protokoll - som är välkända för att vara osäkra - i Office 365. Protokollen avskrivs faktiskt den 31 oktober 2018. Och enligt Microsoft har verkställigheten återställts och bör vara igång den 15 oktober 2020. , XNUMX.

Ärligt talat kommer detta inte att påverka för många användare som Office-klienten kan använda TLS 1.2 om den stöds av den lokala datorn. Det kan dock vara värt att notera det TLS 1.2 är inte tillgängligt på Windows 7 utan KB 3140245 uppdatering. De som letar efter en teknisk översikt över förändringen kan gå över till Microsoft Blog, som förklarar allt.

SSL.com: s takeaway: Som nämnts ovan kommer de flesta användare inte att påverkas av denna förändring eftersom alla moderna operativsystem stöder TLS 1.2. Windows 7-användare kan se till att den erforderliga uppdateringen har tillämpats på deras system, men de bör starkt överväga att uppgradera till Windows 10, som stöd för Windows 7 (inklusive säkerhetsuppdateringar) avslutades tillbaka den 14 januari 2020.

Vi vill gärna ha din feedback

Följ vår undersökning och låt oss veta vad du tycker om ditt senaste köp.