SSL.com'un Güvenlik Roundup'ın bu Şubat sayısına hoş geldiniz. En kısa ayımız olabilir, ancak yine de SSL'deki gelişmelerle doluydu /TLS, dijital sertifikalar ve ağ güvenliği. Bu ay şunları ele alacağız:
- Apple, SSL'yi sınırlar /TLS Bir yıldan biraz daha uzun süreli sertifikalar
- HTTPS üzerinden DNS artık bir Firefox varsayılanı
- Duvarda daha fazla yazı yazmak için TLS 1.0 ve 1.1
- Chrome güvenli olmayan indirmeleri engelleyecek
Apple Sertifikalara Yeni Zaman Sınırı Koyar
Daha önce de belirttiğimiz gibi, Apple kısa süre önce SSL'yi sınırlamayı seçti /TLS sertifika ömürleri bir yıldan biraz fazla. Apple, Bratislava, Slovakya'daki Şubat CA / Tarayıcı (CA / B) Forumunda, 1 Eylül 2020 itibarıyla cihazlarının ve Safari tarayıcısının artık 398 günden daha uzun ömürlü sertifikaları kabul etmeyeceğini duyurdu. Apple'dan henüz resmi ve yazılı bir açıklama yapılmadı. (Güncelleme: Apple açıkladı 3 Mart 2020'de web sitesinde politika değişikliği.) Kayıt notlar:
Sertifika yaşam sürelerini kısaltmak Apple, Google ve diğer CA / Browser üyeleri tarafından aylardır değerlendirildi. Politikanın avantajları ve dezavantajları vardır… Hareketin amacı, geliştiricilerin en son kriptografik standartlara sahip sertifikaları kullanmalarını sağlayarak web sitesi güvenliğini artırmak ve potansiyel olarak çalınabilecek ve yeniden kullanılabilecek eski, ihmal edilmiş sertifikaların sayısını azaltmaktır. kimlik avı ve kötü amaçlı yazılım saldırıları. Boffins veya kötü niyetli kişiler, bir SSL'de kriptografiyi kırabilirse /TLS standart, kısa ömürlü sertifikalar, insanların yaklaşık bir yıl içinde daha güvenli certse göç etmelerini sağlayacaktır.
Böyle önemli bir değişimin bu şekilde gerçekleşmesi biraz şaşırtıcıdır, ancak değişimin kendisi değildir. Belirtildiği gibi daha kısa sertifika ömürleri Kayıt, endüstrinin son zamanlarda ciddi olarak düşündüğü bir şey. Bir Eylül CA / B Forum oylaması, sertifikaların maksimum geçerlilik süresini bir yıl geçerli 825 günlük standarttan değiştirmiş olabilir, ama bu oy başarısız oldu. Bu kez oy kullanmadı - Apple kadar etkili bir şirket standardı kendi başına değiştirebilir.
HTTPS üzerinden DNS Now Firefox Varsayılan
Bu ay, Mozilla HTTPS üzerinden DNS (DoH) varsayılan olarak Firefox tarayıcısının ABD kullanıcıları için. Konsepte yeni başlayanlar için: DoH genellikle şifrelenmemiş (güvenli web sitelerinde bile) DNS bilgilerini şifreler ve başkalarının insanların hangi web sitelerini ziyaret ettiğini görmesini önler. Kullanıcılar hakkında (hükümet gibi veya söz konusu verileri satmaktan kâr elde etmeyi umanlar) veri toplamak isteyen bazı işletmeler için bu kötü bir haberdir. Ve bazıları ayrıca artan opaklığın suçluları izleyen ve tarama sırasında ebeveyn kontrollerine izin veren yararlı casusluğu önlediğini iddia ediyor. Mozilla (açıkça) ve diğerleri gibi diğerleri Electronic Frontier Foundation DoH'nin faydalarını anlatarak, web trafiğini şifrelemenin halk için mahremiyeti artırdığını ve hükümetin insanları izleme ve sansürleme girişimlerini engellediğini vurguladı. Mozilla'nın Firefox'u, standardı varsayılan olarak benimseyen ilk tarayıcıdır.
Firefox ve Slack Sahip Oldu TLS 1.0 ve 1.1
Kurtulmak için açık bir hamle TLS 1.0 ve 1.1 tamamen, Mozilla şimdi gerektiriyor protokolleri kullanarak web sitelerine bağlanmaya çalışan kullanıcılardan manuel olarak geçersiz kılma. Değişiklik, bu tür siteleri tamamen engelleme hedeflerine yönelik bir adımdır. Gibi Verge raporları, değişiklik, "gerçekten bitiş zamanlarının" ne olduğunu gösterir. TLS 1.0 ve 1.1 ve Mozilla'ya yakın gelecekte başkaları da katılacak:
Mart 2020'den itibaren Apple iOS ve macOS güncellemelerinde tam destek Safari'den kaldırılacak. ' Google, desteğini kaldıracağını söyledi TLS Chrome 1.0'de 1.1 ve 81 (17 Mart'ta bekleniyor). Microsoft, şuraya aynısını '2020'nin ilk yarısında' yapardı.
Mozilla herkesi uzaklaştıran tek büyük yazılım satıcısı değil TLS 1.0 ve 1.1. Bu ay, Slack onlar için de desteği sonlandırdı; şirket, değişikliği “güvenlik ve veri bütünlüğü için endüstrinin en iyi uygulamalarına uyum sağlamak” için yaptıklarını söylüyor.
Güvenli Olmayan Yüklemeleri Engelleyen Chrome
Son zamanlarda, tarayıcılar kullanıcıları karma içerik. Karma içerik, web siteleri HTTPS sayfalarından güvenli olmayan HTTP içeriğine (resimler ve indirmeler gibi) bağlantı verdiğinde ve iki protokolü kullanıcılar için açık olmayan bir şekilde bir uyarı olmadan "karıştırdığında" oluşur (konsepti daha derinlemesine inceledik Bu makalede). Şimdi Chrome işleri bir adım daha ileri götürüyor ve karışık içeriğin indirilmesini engelleyecek. Olarak Teknik Times raporları:
Nisan ayında piyasaya sürülmesi planlanan Chrome 82'den başlayarak, Chrome, kararlı bir web sitesinden karma içerikli yürütülebilir dosyalar indireceklerse kullanıcıları uyaracaktır ... Daha sonra, sürüm 83 yayınlandığında, çalıştırılabilir indirmeler engellenebilir ve uyarı, dosyaları arşivlemek için uygulanacak. PDF'ler ve .Doc dosyaları, 84. sürümün yardımıyla bunu gösteren ses, resim, metin ve video dosyalarıyla Chrome 85'te uyarıyı alacaktır. Son olarak, kararlı bir siteden gelen kararlı olmayan bir dosya olan tüm karma içerik indirmeleri, Chrome 86'nın kullanımdan kaldırılmasıyla engellenebilir.
Google'dan, farklı karma içerik türleri için uyarı / engelleme zaman çizelgelerini gösteren kullanışlı bir grafik: