Obwohl es üblich ist, eine sichere Website als das Gegenteil einer unsicheren Website zu betrachten, ist die Wahl in der Tat nicht binär. Damit eine Website wirklich sicher ist, gibt es etwa ein Dutzend Enten, die alle in einer Reihe aufgereiht sein müssen.
HTTPS zu sehen bedeutet nicht, dass die Sicherheit gut gemacht ist, sichere Websites gibt es in vielen Grautönen. Da Webbrowser kein Dutzend visueller Indikatoren bieten, erscheinen viele Websites, die nicht besonders sicher sind, allen außer den größten Technikfreaks dennoch als sicher. Die Browserhersteller haben die Dinge für Nicht-Techniker vereinfacht.
Im vergangenen September habe ich Apple dafür gerügt, dass sie nicht alle ihre Enten in einer Reihe haben, und geschrieben, dass einige ihrer Sicherheitsnachlässigkeiten dazu geführt haben, dass Apple-Websites Passwörter ausspionieren konnten.
Die detaillierten technischen Informationen in diesem Artikel stammten aus dem ausgezeichneten SSL-Server-Test von SSL Labs, einer Abteilung von Qualys. Der Test analysiert sichere Websites, berichtet über alle schmutzigen technischen Details und vergibt eine Briefnote. Viele erhalten nicht die Note A. Viele Enten werden im Web nicht richtig aufgereiht.
Ich werde mich hier auf die allererste Ente konzentrieren, das HTTPS-Protokoll selbst.
In den alten Zeiten hieß das Protokoll SSL, Secure Security Layer. Es gab zwei Versionen von SSL, die Nummern 2 (veröffentlicht 1995) und 3 (veröffentlicht 1996). Neuere Versionen des Protokolls werden TLS (Transport Layer Security) genannt, und es gibt vier Versionen davon, wobei jede Version sicherer ist. TLS Version 1.0 stammt aus dem Jahr 1999, während Version 1.1, die erste Version dieses Jahrhunderts, 2006 definiert wurde. Die beliebteste Version von TLS ist 1.2, die 2008 definiert wurde. Die Version 1.3 befindet sich derzeit im Entwurfsstadium.
Nach dem, was ich mit dem SSL-Server-Test gesehen habe, unterstützt die große Mehrheit der sicheren Websites die TLS-Versionen 1.0, 1.1 und 1.2. Fast keine unterstützt noch die älteren SSL-Versionen, was eine gute Sache ist.
Seiten, die alle drei TLS-Versionen unterstützen, können von Qualys eine A-Bewertung erhalten, eine Entscheidung, die ich fragwürdig finde.
Zum einen sind TLS 1.0 und 1.1 nicht so sicher wie TLS 1.2. Außerdem ist TLS 1.2 schon ziemlich alt. Was sagt es über eine sichere Website aus, die ein Sicherheitsprotokoll, das vor neun Jahren veröffentlicht wurde, noch nicht unterstützt? Nichts Gutes.
Als Defensiv-Computer würde ich einer Website, die TLS Version 1.2 nicht unterstützt, nicht vertrauen. Zum Glück muss ich das nicht.
Firefox lässt Sie die Versionen des HTTPS-Protokolls auswählen, die er unterstützen soll.
Mit den folgenden Schritten können Sie TLS 1.0 und TLS 1.1 sowie die alte SSL-Version 3 deaktivieren. Danach zeigt Firefox nur noch sichere Websites an, die TLS 1.2 unterstützen. Unsichere HTTP-Websites sind davon nicht betroffen.
Dieser Tweak von Firefox wurde kürzlich mit der Version 54 unter Windows und Android und der Version 50 unter OS X getestet. Er wird von Firefox 7.5 unter iOS 10 nicht unterstützt. Er ist auch nicht neu, er wurde erstmals im April 2013 eingeführt.
TWEAKING
1. Geben Sie about:config in die Adressleiste ein
2. Klicken Sie sich durch die Warnung vor dem Erlöschen der Garantie
3. Suchen Sie in der Suchleiste nach „security.tls„
4. Am Ende sollten etwa 10 Konfigurationsmöglichkeiten angezeigt werden. Der Eintrag für „security.tls.version.min“ sollte auf dem Standardwert von 1 stehen.
5. Doppelklicken Sie auf „security.tls.version.min„
5. Setzen Sie den Wert auf 3 und klicken Sie auf die Schaltfläche OK.
Das Ergebnis sollte wie das folgende Bild aussehen (von Firefox 54 unter Windows).
Firefox so einstellen, dass er nur TLS Version 1.2 verwendet
Jetzt können Sie etwas sicherer im Internet surfen.
Ich habe dies vor einiger Zeit in meiner Firefox-Kopie geändert und es hat größtenteils gut funktioniert. Das heißt, fast jede Website, die TLS unterstützt, unterstützt auch die Version 1.2. Dennoch sind wir sicherer, wenn wir TLS 1.0 und 1.1 vermeiden.
Aktualisierung: 14. Juli 2017: Weitere Untersuchungen haben ergeben, dass dieser Tweak auch mit Firefox Version 49 auf Lubuntu Version 16.10 unterstützt wird.
Weiter: Überprüfen und Testen, dass Firefox auf TLS 1.2 beschränkt ist
FEEDBACK
Kontaktieren Sie mich privat per E-Mail unter meinem vollen Namen bei Gmail oder öffentlich auf Twitter unter @defensivecomput.