欢迎阅读 SSL.com 安全综述的二月版。 这可能是我们最短的一个月,但仍然充满了 SSL/TLS,数字证书和网络安全性。 本月,我们将介绍:
Apple 对证书设置新的时间限制
正如我们已经报道过的,苹果最近选择限制 SSL/TLS 证书的有效期为一年多一点。 在斯洛伐克布拉迪斯拉发举行的 1 月份 CA/浏览器 (CA/B) 论坛上,Apple 宣布,自 2020 年 398 月 XNUMX 日起,其设备和 Safari 浏览器将不再接受生命周期超过 XNUMX 天的证书。 截至目前,苹果尚未发布正式的书面公告。 (更新: Apple 公布 政策变更于 3 年 2020 月 XNUMX 日在其网站上发布。) 注册 笔记:
Apple、Google 和 CA/Browser 的其他成员几个月来一直在考虑缩短证书的生命周期。 该政策有其优点和缺点......此举的目的是通过确保开发人员使用符合最新加密标准的证书来提高网站安全性,并减少可能被窃取和重复使用的旧的、被忽视的证书的数量网络钓鱼和路过式恶意软件攻击。 如果研究人员或不法分子能够破解 SSL/TLS 标准的短期证书将确保人们在大约一年内迁移到更安全的证书。
如此重大的转变以这种方式发生有点令人惊讶,但转变本身却并不令人惊讶。 证书生命周期较短,如 注册,都是业界近期认真考虑的事情。 825 月份的 CA/B 论坛投票可能会将证书的最长有效期从当前的 XNUMX 天标准更改为一年, 但那次投票失败了。 这次没有进行投票——像苹果这样有影响力的公司可以自行改变标准。
DNS over HTTPS 现在成为 Firefox 默认设置
本月,Mozilla 设定 通过HTTPS的DNS (DoH) 作为默认值 适用于 Firefox 浏览器的美国用户。 对于刚接触这个概念的人来说:DoH 对通常未加密的 DNS 信息(即使在安全网站上)进行加密,并防止其他人看到人们正在访问的网站。 对于一些喜欢收集用户数据的实体(例如政府,或那些希望通过出售这些数据获利的实体)来说,这是个坏消息。 一些人还认为,增加的不透明度可以防止跟踪犯罪分子的有用间谍活动,并允许家长控制浏览。 其他的,比如 Mozilla(显然)和 电子前沿基金会 宣传卫生部的好处,强调加密网络流量可以改善公众的隐私,并阻止政府跟踪和审查人员的企图。 Mozilla 的 Firefox 是第一个默认采用该标准的浏览器。
Firefox 和 Slack 已经受够了 TLS 1.0 1.1和
以明确的举动摆脱 TLS 完全 1.0 和 1.1,Mozilla 现在需要 尝试使用协议连接到网站的用户手动覆盖。 这一变化是朝着他们宣布的完全屏蔽此类网站的目标迈出的一步。 作为 一触即发 报告,这一变化意味着什么是“真正的末世” TLS 以及 1.0 和 1.1,Mozilla 在不久的将来也会有其他人加入:
从 2020 年 XNUMX 月开始,Apple iOS 和 macOS 的更新中将删除 Safari 的完整支持。 谷歌表示将取消对 TLS Chrome 1.0 中的 1.1 和 81(预计于 17 月 XNUMX 日发布)。 微软 说过 “2020 年上半年”也会做同样的事情。
Mozilla 并不是唯一一家让所有人远离的主要软件供应商 TLS 1.0 和 1.1。 这个月,松弛 也结束了对他们的支持; 该公司表示,他们正在进行更改“以符合安全性和数据完整性的行业最佳实践”。
Chrome 将阻止不安全下载
最近,浏览器已采取行动警告用户 混合内容。 当网站从 HTTPS 页面链接到不安全的 HTTP 内容(例如图像和下载)时,就会发生混合内容,以一种用户不明显的方式“混合”这两种协议,而不会发出警告(我们已经更深入地研究了这个概念) 在这篇文章中)。 现在,Chrome 更进一步,将阻止下载混合内容。 作为 科技时代 报告:
从将于 82 月份发布的 Chrome 83 开始,Chrome 将警告用户是否要从稳定的网站下载混合内容可执行文件……然后,当版本 84 发布时,这些可执行文件的下载可能会被阻止,并且警告可以实施归档文件。 PDF 和 .Doc 文件将在 Chrome 85 中收到警告,并在第 86 版的帮助下通过音频、图像、文本和视频文件显示该警告。 最后,自 Chrome XNUMX 发布以来,所有混合内容下载(来自稳定网站的不稳定文件)可能会被阻止。
这是谷歌提供的一个方便的图表,显示了他们针对不同类型的混合内容的警告/阻止时间表:
