Ačkoli je běžné považovat bezpečnou webovou stránku za opak nezabezpečené, volba ve skutečnosti není binární. Aby byl web skutečně bezpečný, existuje asi tucet kachniček, které musí být všechny seřazeny do jedné řady.
Vidět HTTPS ještě neznamená, že je zabezpečení dobře provedeno, bezpečné weby existují v mnoha odstínech šedi. Vzhledem k tomu, že webové prohlížeče nenabízejí tucet vizuálních indikátorů, mnoho webů, které nejsou nijak zvlášť zabezpečené, se všem, kromě těch nejtechničtějších nerdů, přesto jeví jako bezpečné. Výrobci prohlížečů to pro netechniky zjednodušili.
Loni v září jsem si vzal na paškál společnost Apple za to, že nemá vše v pořádku, a napsal jsem, že některá její bezpečnostní nedopatření umožnila únik hesel z webových stránek společnosti Apple.
Podrobné technické informace v tomto článku pocházejí z vynikajícího testu serverů SSL od společnosti SSL Labs, divize společnosti Qualys. Tento test analyzuje zabezpečené webové stránky, informuje o všech krvavých technických detailech a přiděluje písmennou známku. Mnohé z nich nedostávají hodnocení A. Spousta kachen není na webu správně seřazena.
Zaměřím se zde na úplně první kachnu, samotný protokol HTTPS.
Dříve se protokol nazýval SSL, Secure Security Layer. Existovaly dvě verze protokolu SSL s čísly 2 (vydaná v roce 1995) a 3 (vydaná v roce 1996). Novější verze protokolu se nazývají TLS (Transport Layer Security) a existují čtyři verze, přičemž každá iterace je bezpečnější. Verze TLS 1.0 pochází z roku 1999, zatímco verze 1.1, první z tohoto století, byla definována v roce 2006. Nejpopulárnější verzí TLS je 1.2, která byla definována v roce 2008. Verze 1.3 je v současné době ve stavu návrhu.
Z toho, co jsem viděl v testu serverů SSL, vyplývá, že naprostá většina zabezpečených webových stránek podporuje verze TLS 1.0, 1.1 a 1.2.
. Téměř žádné, stále podporují starší verze SSL, což je dobře.
Webové stránky, které podporují všechny tři verze TLS, mohou od společnosti Qualys získat hodnocení A, což je rozhodnutí, které považuji za sporné.
Na jedné straně TLS 1.0 a 1.1 nejsou tak bezpečné jako TLS 1.2. Na druhé straně TLS 1.0 a 1.1 nejsou tak bezpečné jako TLS 1.2. Navíc je TLS 1.2 poměrně stará. Co to vypovídá o bezpečném webu, který ještě nepodporuje bezpečnostní protokol, který byl vydán před devíti lety? Nic dobrého.
Jako člověk zabývající se defenzivní výpočetní technikou bych webu, který nepodporuje TLS verze 1.2, nevěřil. Naštěstí nemusím.
Firefox umožňuje vybrat si verzi protokolu HTTPS, kterou chcete, aby podporoval.
Níže uvedené kroky umožňují zakázat TLS 1.0 a TLS 1.1 spolu s prastarou verzí SSL 3. V případě, že chcete, aby byl protokol HTTPS podporován, můžete si vybrat, kterou verzi chcete podporovat. Po jejich provedení bude Firefox zobrazovat pouze zabezpečené webové stránky, které podporují TLS 1.2. Nezabezpečených webových stránek HTTP se to netýká. V podstatě si tak nalinkujeme první kačku.
Toto vylepšení Firefoxu bylo nedávno testováno pomocí verze 54 v systémech Windows a Android a verze 50 v systému OS X. Není podporováno prohlížečem Firefox 7.5 v systému iOS 10. Není také žádnou novinkou, poprvé byl představen v dubnu 2013.
TAKOVÁNÍ
1. Do adresního řádku zadejte about:config
2. Klikněte na upozornění o ztrátě záruky
3. V panelu vyhledávání vyhledejte „security.tls
„
4. Nakonec by se mělo zobrazit asi 10 možností konfigurace. Položka pro „security.tls.version.min
“ by měla mít výchozí hodnotu 1.
5. Zjistěte, zda je v položce „security.tls.version.min
“ uvedena výchozí hodnota. Dvakrát klikněte na položku „security.tls.version.min
„
5. Nastavte ji na hodnotu 3 a klikněte na tlačítko OK.
Výsledek by měl vypadat jako na obrázku níže (z Firefoxu 54 v systému Windows).
Nyní budete procházet web o něco bezpečněji.
Před časem jsem to ve své kopii Firefoxu změnil a většinou to bylo v pořádku. To znamená, že téměř všechny webové stránky, které vůbec podporují TLS, podporují verzi 1.2. Přesto jsme bezpečnější, když se vyhneme TLS 1.0 a 1.1.
Aktualizace: 14. července 2017: Další zkoumání ukázalo, že toto vylepšení je podporováno také prohlížečem Firefox verze 49 běžícím v Lubuntu verze 16.10.
Další:
FEEDBACK
Spojte se se mnou soukromě e-mailem na mé celé jméno na Gmailu nebo veřejně na Twitteru na adrese @defensivecomput.
.