欢迎使用SSL.com的本月四月版安全摘要! 在过去的一个月中,我们中的许多人都被困住了,但是在线生活仍然很旺盛,这意味着在数字安全方面我们还有很多事情要做。 本月我们将看一下:
微软推迟 TLS 1.0和1.1弃用
尽管Microsoft计划禁用传输层安全性(TLS)今年春季某个时候,公司发布了1.0和1.1版 公布 该计划“将根据当前事件”推迟到今年年底。
虽然这听起来像是不采取行动的方便借口, ghacks.net报告 实际上,在浏览器中广泛禁用安全协议的承诺确实在大流行期间成为问题。 他们写:
有些人,例如Mozilla,继续进行了更改,但是当很明显某些政府站点仍然依赖这些协议时,便撤消了更改。 由于禁用的协议,Firefox用户无法再访问这些站点。 Mozilla重新启用了协议,以确保全球Firefox用户能够在危机时期访问重要站点。
目前,Microsoft计划在84月发布新的基于Chromium的Microsoft Edge版本XNUMXr,其中 TLS 默认情况下将禁用1.0和1.1。 Microsoft Internet Explorer 11和Classic Microsoft Edge将于8月XNUMX日禁用该协议。
Firefox 76获得可选的仅HTTPS模式
Mozilla宣布将为用户提供 仅HTTPS模式 在Firefox浏览器的版本76中。 根据Softpedia 该功能将把一些坚持使用HTTP的散客推向安全 HTTPS 协议。 在浏览器中激活后,HTTP站点将不再加载。 而是,浏览器将尝试将连接升级到HTTPS。 如果这不可用,那么现在用户将收到“安全连接失败”警告,可以忽略或忽略。
Firefox 76现在仅会提供这种更安全的浏览作为选项,而不是默认选项,因此用户将不得不选择仅使用HTTPS的体验。
Firefox 75中简化了客户端证书
有关Firefox的更多好消息, Mozilla宣布 他们将允许浏览器访问Windows和macOS上的操作系统证书存储,从而简化浏览器版本75中的客户端证书使用。 到目前为止,Firefox的用户必须通过加载第三方库与硬件令牌进行通信或将证书和私钥导入浏览器自己的证书存储中来使用浏览器中的客户端证书。 这不是解决问题的最安全方法,并且也可能导致稳定性问题。
现在,像Chrome和其他浏览器一样,Firefox已经开发了自己的库来与OS证书存储接口。 从博客:
Firefox无需加载第三方库来与硬件令牌进行通信,而是可以将此任务委派给操作系统。 此外,Firefox可以强迫用户直接查找这些证书,而不是强制用户导出客户端证书并将其重新导入到他们的Firefox配置文件中。 除了保护私钥外,此新机制还使Firefox可以使用带有不可导出密钥的客户端证书…我们希望此功能对以前竭尽全力配置Firefox以在其环境中工作的企业用户非常有用。 。
Jitsi提供了缩放的开源替代方案
上个月,Zoom成为头条新闻。 首先,每个人都在使用Zoom来在家中与工作,朋友和家人建立联系,同时下令留在家中以防止冠状病毒传播。 然后,当出现安全问题并进行处理时,每个人都逃跑了。 同时,出现了替代方案。
吉西见面 从8×8开始,视频会议提供了开源选项,具有密码保护等功能。 和, 作为有线笔记,拥有允许开发人员社区进行修改的开源软件有明显的优势:
任何人都可以修改和共享Jitsi的代码这一事实意味着其他人可以在其软件中构建该工具。 WeSchool做到了。 开源聊天软件服务也是如此 防暴,它使用Jitsi作为视频聊天组件。 Ivov说8×8受益于这类项目,因为它们测试了Jitsi的代码如何在不同的设备和不同的环境中执行。 这有助于核心Jitsi开发团队为开源用户和8×8付费客户改进软件。
目前,Jitsi仅提供一对一通话的端到端加密,不提供多于两个人的会议(这需要使用需要解密数据的集中式服务器)/但是,它们正在正常工作将端到端加密扩展到更大的呼叫。