Vaikka yleisesti ajatellaan, että turvallinen verkkosivusto on turvattoman verkkosivuston vastakohta, valinta ei ole itse asiassa binäärinen. Jotta verkkosivusto olisi todella turvallinen, on olemassa noin tusinan verran ankkoja, joiden kaikkien on oltava rivissä.
HTTPS:n näkeminen ei tarkoita, että tietoturva on hyvin toteutettu, vaan turvallisia verkkosivustoja on olemassa monia harmaan sävyjä. Koska verkkoselaimet eivät tarjoa tusinoittain visuaalisia indikaattoreita, monet sivustot, jotka eivät ole erityisen turvallisia, näyttävät kaikkien muiden kuin teknonörttien mielestä kuitenkin turvallisilta. Selainvalmistajat ovat tehneet asiat yksinkertaisemmiksi muille kuin teknikoille.
Viime syyskuussa otin Applen niskoilleni, koska sillä ei ollut kaikki asiat kunnossa, ja kirjoitin, että Applen verkkosivujen salasanojen vuotaminen oli mahdollista joidenkin niiden tietoturva-aukkojen vuoksi.
Artikkelin yksityiskohtaiset tekniset tiedot olivat peräisin Qualysin alaosastoon kuuluvan SSL Labsin erinomaisesta SSL-palvelintestistä. Testissä analysoidaan suojattuja verkkosivustoja, raportoidaan kaikki veriset tekniset yksityiskohdat ja annetaan arvosanat. Monet eivät saa A-luokitusta. Monet ankat eivät ole oikein rivissä eri puolilla verkkoa.
Tässä keskityn aivan ensimmäiseen ankkaan, itse HTTPS-protokollaan.
Vanhoina aikoina protokollaa kutsuttiin nimellä SSL, Secure Security Layer. SSL:stä oli kaksi versiota, numerot 2 (julkaistu vuonna 1995) ja 3 (julkaistu vuonna 1996). Protokollan uudempia versioita kutsutaan TLS:ksi (Transport Layer Security), ja siitä on neljä versiota, joista jokainen on turvallisempi. TLS:n versio 1.0 on vuodelta 1999, kun taas tämän vuosisadan ensimmäinen versio 1.1 määriteltiin vuonna 2006. TLS:n suosituin versio on 1.2, joka määriteltiin vuonna 2008. Versio 1.3 on tällä hetkellä luonnosvaiheessa.
Siitä, mitä olen nähnyt SSL-palvelintestin avulla, valtaosa turvallisista verkkosivustoista tukee TLS-versioita 1.0, 1.1 ja 1.2. Lähes yksikään ei vielä tue vanhempia SSL-versioita, mikä on hyvä asia.
Sivustot, jotka tukevat kaikkia kolmea TLS-versiota, voivat saada Qualysilta A-luokituksen, mikä on mielestäni kyseenalainen päätös.
Yksi asia, TLS 1.0 ja 1.1 eivät ole yhtä turvallisia kuin TLS 1.2. Lisäksi TLS 1.2 on melko vanha. Mitä se kertoo turvallisesta verkkosivustosta, joka ei vielä tue yhdeksän vuotta sitten julkaistua turvallisuusprotokollaa? Ei mitään hyvää.
Puolustavan tietotekniikan kaverina en luottaisi verkkosivustoon, joka ei tue TLS-versiota 1.2. Onneksi minun ei tarvitse.
Firefox antaa sinun valita, mitä HTTPS-protokollan versioita haluat sen tukevan.
Alla olevien ohjeiden avulla voit poistaa käytöstä TLS 1.0:n ja TLS 1.1:n sekä ikivanhan SSL-version 3. Tämän jälkeen Firefox näyttää vain TLS 1.2:ta tukevat turvalliset verkkosivustot. Tämä ei vaikuta turvattomiin HTTP-sivustoihin. Olemme käytännössä rivissä ensimmäinen ankka.
Tämä Firefoxin viritys testattiin hiljattain käyttäen versiota 54 Windowsissa ja Androidissa ja versiota 50 OS X:ssä. Firefox 7.5 ei tue sitä iOS 10:ssä. Se ei myöskään ole mitään uutta, se esiteltiin ensimmäisen kerran huhtikuussa 2013.
TWEAKING
1. Kirjoita osoitepalkkiin about:config
2. Klikkaa läpi varoitus takuun mitätöimisestä
3. Etsi hakupalkissa ”security.tls
”
4. Tämän pitäisi lopulta näyttää noin 10 määritysmahdollisuutta. Merkinnän ”security.tls.version.min
” pitäisi olla oletusarvollaan 1.
5. Kaksoisnapsauta kohtaa ”security.tls.version.min
”
5. Aseta sen arvoksi 3 ja napsauta OK-painiketta.
Tuloksen pitäisi näyttää alla olevan kuvan kaltaiselta (Firefox 54:stä Windowsissa).
Nyt selaat nettiä hieman turvallisemmin.
Muutin tämän jokin aika sitten omassa Firefox-kopiossani ja suurimmaksi osaksi se on toiminut hyvin. Eli lähes jokainen sivusto, joka ylipäätään tukee TLS:ää, tukee versiota 1.2. Silti olemme turvallisempia välttämällä TLS 1.0 ja 1.1.
Päivitys: 14. heinäkuuta 2017: Firefoxin versio 49, joka toimii Lubuntun versiossa 16.10, tukee myös tätä viritelmää.
Seuraava: Tarkistaminen ja testaaminen, että Firefox on rajoitettu TLS 1.2:een
FEEDBACK
Ota minuun yhteyttä yksityisesti sähköpostitse täydellä nimelläni Gmailissa tai julkisesti Twitterissä @defensivecomput.