Aunque es común pensar en un sitio web seguro como lo opuesto a uno inseguro, la elección no es, de hecho, binaria. Para que un sitio web sea realmente seguro, hay una docena de patos que deben estar alineados en una fila.
Ver HTTPS no significa que la seguridad esté bien hecha, los sitios web seguros existen en muchos tonos de gris. Dado que los navegadores web no ofrecen una docena de indicadores visuales, muchos sitios que no son particularmente seguros parecen, para todos, excepto para los más nerds de la tecnología, ser seguros de todos modos. Los proveedores de navegadores han simplificado las cosas para los que no son expertos en tecnología.
El pasado mes de septiembre, critiqué a Apple por no tener todos sus patos en fila, escribiendo que algunos de sus descuidos de seguridad permitían que los sitios web de Apple filtraran las contraseñas.
La información técnica detallada de ese artículo procedía de la excelente prueba de servidores SSL de SSL Labs, una división de Qualys. La prueba analiza los sitios web seguros, informa de todos los detalles técnicos sangrientos y asigna una letra de calificación. Muchos no obtienen una calificación de A. Muchos patos no están siendo alineados correctamente en la web.
Aquí me voy a centrar en el primer pato, el propio protocolo HTTPS.
En los viejos tiempos el protocolo se llamaba SSL, Secure Security Layer. Hubo dos versiones de SSL, numeradas 2 (lanzada en 1995) y 3 (lanzada en 1996). Las versiones más recientes del protocolo se denominan TLS (Transport Layer Security) y existen cuatro versiones del mismo, siendo cada iteración más segura. La versión 1.0 de TLS data de 1999, mientras que la versión 1.1, la primera de este siglo, se definió en 2006. La versión más popular de TLS es la 1.2, que se definió en 2008. La versión 1.3 está actualmente en estado de borrador.
Por lo que he visto con el SSL Server Test, la gran mayoría de los sitios web seguros soportan las versiones 1.0, 1.1 y 1.2 de TLS. Casi ninguno, sigue soportando las versiones más antiguas de SSL, lo cual es bueno.
Los sitios que soportan las tres versiones de TLS pueden obtener una calificación A de Qualys, una decisión que me parece cuestionable.
Por un lado, TLS 1.0 y 1.1 no son tan seguros como TLS 1.2. Además, TLS 1.2 es bastante antiguo. Qué dice de un sitio web seguro que todavía no soporta un protocolo de seguridad que fue lanzado hace nueve años? Nada bueno.
Como chico de la informática defensiva, no me fiaría de un sitio web que no soporta la versión 1.2 de TLS. Afortunadamente, no tengo que hacerlo.
Firefox te permite elegir las versiones del protocolo HTTPS que quieres que soporte.
Los pasos siguientes te permiten desactivar TLS 1.0 y TLS 1.1 junto con la antigua versión 3 de SSL. Después de hacerlo, Firefox sólo mostrará los sitios web seguros que soportan TLS 1.2. Los sitios web HTTP inseguros no se ven afectados. Estamos, en efecto, alineando el primer pato.
Este tweak de Firefox fue probado recientemente usando la versión 54 en Windows y Android, y la versión 50 en OS X. No es compatible con Firefox 7.5 en iOS 10. Tampoco es nada nuevo, se introdujo por primera vez en abril de 2013.
TWEAKING
1. Introduzca about:config en la barra de direcciones
2. Haga clic a través de la advertencia sobre la anulación de la garantía
3. En la barra de búsqueda, busque «security.tls«
4. Esto debería terminar mostrando unas 10 opciones de configuración. La entrada para «security.tls.version.min» debería estar en su valor por defecto de 1.
5. Haga doble clic en «security.tls.version.min«
5. Ajústelo a 3 y haga clic en el botón OK.
El resultado debería ser como la imagen siguiente (de Firefox 54 en Windows).
Tweaking Firefox to only use TLS version 1.2
Ahora, estarás navegando por la web un poco más seguro.
Cambié esto hace un tiempo en mi copia de Firefox y en su mayor parte, ha ido bien. Es decir, casi todos los sitios web que soportan TLS en absoluto, soportan la versión 1.2. Aun así, estamos más seguros evitando TLS 1.0 y 1.1.
Actualización: 14 de julio de 2017: La investigación posterior mostró que este tweak también es compatible con la versión 49 de Firefox que se ejecuta en la versión 16.10 de Lubuntu.
Siguiente: Verificar y probar que Firefox está restringido a TLS 1.2
FEEDBACK
Póngase en contacto conmigo en privado por correo electrónico a mi nombre completo en Gmail o públicamente en twitter en @defensivecomput.