Selv om det er almindeligt at tænke på et sikkert websted som det modsatte af et usikkert websted, er valget faktisk ikke binært. For at et websted virkelig er sikkert, er der omkring et dusin ænder, som alle skal stå på række.
Det at se HTTPS betyder ikke, at sikkerheden er godt udført, sikre websteder findes i mange gråtoner. Da webbrowsere ikke tilbyder et dusin visuelle indikatorer, ser mange websteder, der ikke er særligt sikre, ud til at være sikre alligevel for alle andre end de mest teknisk kyndige nørder. Leverandørerne af browsere har gjort tingene mere simple for ikke-teknologer.
I september sidste år tog jeg Apple til indtægt for ikke at have alt på plads og skrev, at nogle af deres sikkerhedsforsømmelser gjorde det muligt for Apple-websteder at lække adgangskoder.
De detaljerede tekniske oplysninger i den artikel stammer fra den fremragende SSL Server Test fra SSL Labs, en afdeling af Qualys, som er en del af Qualys. Testen analyserer sikre websteder, rapporterer om alle de blodige tekniske detaljer og tildeler en karakter. Mange får ikke en A-vurdering. Masser af ænder bliver ikke stillet korrekt op rundt omkring på nettet.
Her vil jeg fokusere på den allerførste and, nemlig selve HTTPS-protokollen.
I gamle dage blev protokollen kaldt SSL, Secure Security Layer. Der fandtes to versioner af SSL, nummer 2 (udgivet i 1995) og 3 (udgivet i 1996). Nyere versioner af protokollen hedder TLS (Transport Layer Security), og der findes fire versioner af den, hvor hver version er mere sikker. TLS version 1.0 stammer fra 1999, mens version 1.1, den første fra dette århundrede, blev defineret i 2006. Den mest populære version af TLS er 1.2, som blev defineret i 2008. Version 1.3 er i øjeblikket i udkaststatus.
Fra det, jeg har set med SSL Server Test, understøtter langt de fleste sikre websteder TLS-versioner 1.0, 1.1 og 1.2. Næsten ingen, understøtter stadig de ældre SSL-versioner, hvilket er en god ting.
Sider, der understøtter alle tre TLS-versioner, kan få en A-vurdering fra Qualys, en beslutning, som jeg finder tvivlsom.
For det første er TLS 1.0 og 1.1 ikke så sikre som TLS 1.2. Desuden er TLS 1.2 ret gammelt. Hvad siger det om et sikkert websted, at det endnu ikke understøtter en sikkerhedsprotokol, der blev frigivet for ni år siden? Ikke noget godt.
Som Defensive Computing-mand ville jeg ikke stole på et websted, der ikke understøtter TLS version 1.2. Det behøver jeg heldigvis ikke.
Firefox lader dig vælge og vrage de versioner af HTTPS-protokollen, som du ønsker at få understøttet.
Med nedenstående trin kan du deaktivere TLS 1.0 og TLS 1.1 sammen med den gamle SSL-version 3. Når du har gjort det, vil Firefox kun vise sikre websteder, der understøtter TLS 1.2. Usikre HTTP-websteder er ikke berørt. Vi stiller i realiteten den første and op.
Dette tweak af Firefox blev for nylig testet med version 54 på Windows og Android og version 50 på OS X. Det understøttes ikke af Firefox 7.5 på iOS 10. Det er heller ikke noget nyt, det blev først introduceret i april 2013.
TWEAKING
1. Indtast about:config i adresselinjen
2. Klik dig igennem advarslen om, at garantien bortfalder
3. Søg efter “security.tls“
4. Dette skulle ende med at vise ca. 10 konfigurationsmuligheder. Indtastningen for “security.tls.version.min” bør være på standardværdien 1.
5. Dobbeltklik på “security.tls.version.min“
5. Indstil den til 3, og klik på OK-knappen.
Resultatet bør se ud som nedenstående billede (fra Firefox 54 på Windows).
Tweaking Firefox til kun at bruge TLS version 1.2
Nu surfer du lidt mere sikkert på nettet.
Jeg ændrede dette for et stykke tid siden i mit eksemplar af Firefox, og det har for det meste fungeret fint. Det vil sige, at næsten alle websteder, der overhovedet understøtter TLS, understøtter version 1.2. Alligevel er vi mere sikre ved at undgå TLS 1.0 og 1.1.
Opdatering: 14. juli 2017: Yderligere undersøgelser viste, at dette tweak også understøttes med Firefox version 49, der kører på Lubuntu version 16.10.
Næste: Verificering og test af, at Firefox er begrænset til TLS 1.2
FEEDBACK
Kom i kontakt med mig privat via e-mail på mit fulde navn på Gmail eller offentligt på twitter på @defensivecomput.