Microsoft stelt de verwijdering van SHA-1 in de beveiligingsbasislijn van Edge 85 uit

Microsoft heeft een nieuwe beveiligingsbasislijn voor Microsoft Edge gepubliceerd en een van de nieuwe regels is getiteld “Certificaten laten ondertekenen met SHA-1 indien uitgegeven door lokale trust anchors.”

Wat sommige gebruikers zal verbazen, aangezien het National Institute of Standards and Technology van de Verenigde Staten SHA-1 in 2011 verouderde en Microsoft het in 2017 uit zijn Internet Explorer en Edge-browsers verbood.

Beiden deden dit omdat het hash-algoritme vatbaar was voor aanvaringsaanvallen waardoor replica’s konden worden gemaakt, een fout die Google begin 2017 bewees.

Dus waarom heeft Microsoft SHA-1 nu nieuw leven ingeblazen?

De uitleg van Microsoft omvat onder meer de bekentenis dat “het misschien vreemd lijkt dat we een verouderde instelling aan de basislijn toevoegen”, maar benadrukt dat “deze belangrijk is.”

“Microsoft Edge verbiedt standaard certificaten die zijn ondertekend met SHA-1, de beveiligingsbasislijn dwingt dit af om ervoor te zorgen dat ondernemingen erkennen dat het toestaan ​​van SHA-1 ketens geen veilige configuratie is,”

schreef Microsoft-beveiligingsmedewerker Rick Munck.

“Mocht u een SHA-1 keten moeten gebruiken voor compatibiliteit met bestaande applicaties die ervan afhankelijk zijn, dan is het zo snel mogelijk overstappen van die configuratie cruciaal voor de beveiliging van uw organisatie.”

De verlichting is ook tijdelijk:

“In versie 92 van Microsoft Edge, die medio 2021 wordt verwacht, wordt deze instelling verwijderd, daarna zal er geen ondersteund mechanisme zijn om SHA-1 toe te staan, zelfs niet voor certificaten die zijn uitgegeven door uw niet-openbare certificeringsinstanties,”

Schreef Munck.

De nieuwe basislijn voor Edge 85 voegt ook een beleid toe met de titel “Definieer een lijst met protocollen die een externe applicatie kan starten vanuit vermelde bronnen zonder de gebruiker te vragen”, wat betekent dat gebruikers een optie krijgen om browsers altijd lokale apps te laten spawnen.

Microsoft stelt dat deze wijziging nodig is omdat het zien van een prompt, telkens wanneer een gebruiker op een link naar bekende apps zoals Teams en Skype klikt, hen ongevoelig maakt voor echte bedreigingen en klachten veroorzaakt bij IT-afdelingen. Het nieuwe beleid betekent daarom dat gebruikers een selectievakje krijgen om de browser altijd toe te staan ​​bepaalde apps te starten.

“Door gebruik te maken van deze instelling wordt die prompt onderdrukt en wordt de ruis voor de eindgebruiker verminderd door de inhoud op bedrijfsniveau goed te keuren. Het verminderen van de prompts van de eindgebruiker verbetert zowel de productiviteit van de gebruiker als helpt hen om betere beslissingen te nemen wanneer een onverwacht verzoek verschijnt, doordat de prompt ‘moeheid’ wordt verminderd. ”

Aldus Munck.

Microsoft beoordeelt de volledige lijst met Edge-beleid als gelezen 313 minuten.

Bron: TheRegister

Pin It on Pinterest