Bár a biztonságos weboldalra általában úgy gondolunk, mint a nem biztonságos weboldal ellentétére, a választás valójában nem bináris. Ahhoz, hogy egy weboldal valóban biztonságos legyen, körülbelül egy tucatnyi kacsa van, amelyeknek mind egy sorba kell állniuk.
A HTTPS megléte nem jelenti azt, hogy a biztonság jól sikerült, a biztonságos weboldalak a szürke számos árnyalatában léteznek. Mivel a webböngészők nem kínálnak tucatnyi vizuális jelzőt, sok olyan webhely, amely nem különösebben biztonságos, a legtechnikásabb kockák kivételével mégis biztonságosnak tűnik. A böngészőgyártók leegyszerűsítették a dolgokat a nem műszaki beállítottságúak számára.
Tavaly szeptemberben szemére vetettem az Apple-nek, hogy nem állt minden kacsa a sorban, és azt írtam, hogy néhány biztonsági mulasztásuk miatt az Apple webhelyei kiszivárogtatták a jelszavakat.
A cikkben szereplő részletes technikai információk a Qualys egyik részlegének, az SSL Labsnek a kiváló SSL Server Testéből származnak. A teszt elemzi a biztonságos weboldalakat, beszámol a teljes véres technikai részletekről, és betűjeles osztályzatot ad. Sokan nem kapnak A minősítést. Rengeteg kacsa nincs megfelelően felsorakoztatva a weben.
Itt most a legelső kacsára, magára a HTTPS protokollra fogok koncentrálni.
A régi időkben a protokollt SSL-nek, Secure Security Layer-nek hívták. Az SSL-nek két változata volt, a 2-es (1995-ben megjelent) és a 3-as (1996-ban megjelent). A protokoll újabb változatait TLS-nek (Transport Layer Security) hívják, és négy változata létezik, mindegyik iteráció biztonságosabb. A TLS 1.0 verziója 1999-ből származik, míg az 1.1-es verziót, az elsőt ebből az évszázadból, 2006-ban határozták meg. A TLS legnépszerűbb verziója az 1.2, amelyet 2008-ban határoztak meg. Az 1.3-as verzió jelenleg tervezet státuszban van.
Az SSL Server Test segítségével tapasztaltam, hogy a biztonságos weboldalak túlnyomó többsége támogatja a TLS 1.0, 1.1 és 1.2 verzióját. Szinte egyik sem támogatja még mindig a régebbi SSL-verziókat, ami jó dolog.
A TLS mindhárom verzióját támogató webhelyek A minősítést kaphatnak a Qualys-tól, ami számomra megkérdőjelezhető döntés.
Egyrészt a TLS 1.0 és 1.1 nem olyan biztonságos, mint a TLS 1.2. Ráadásul a TLS 1.2 meglehetősen régi. Mit mond egy biztonságos weboldalról, ha még nem támogat egy olyan biztonsági protokollt, amelyet kilenc évvel ezelőtt adtak ki? Semmi jót.
Védelmi informatikusként nem bíznék meg egy olyan weboldalban, amely nem támogatja a TLS 1.2-es verzióját. Szerencsére nem is kell.
A Firefox lehetővé teszi, hogy kiválaszthassa a HTTPS protokoll azon verzióit, amelyeket támogatni szeretne.
Az alábbi lépésekkel letilthatja a TLS 1.0 és TLS 1.1, valamint az ősi SSL 3. verzióját. Ezt követően a Firefox csak a TLS 1.2-t támogató biztonságos weboldalakat fogja megjeleníteni. A nem biztonságos HTTP-weboldalakat ez nem érinti. Gyakorlatilag az első kacsát sorakoztatjuk fel.
A Firefox ezen csípését nemrég teszteltük az 54-es verzióval Windowson és Androidon, valamint az 50-es verzióval OS X-en. iOS 10-en a Firefox 7.5 nem támogatja. Ez sem újdonság, először 2013 áprilisában mutatták be.
TWEAKING
1. Írja be a about:config
-t a címsorba
2. Kattintson át a garancia érvénytelenítéséről szóló figyelmeztetésen
3. A keresősávban keressen rá a “security.tls
“
4. Ennek a végén körülbelül 10 beállítási lehetőséget kell megjelenítenie. A “security.tls.version.min
” bejegyzésnek az alapértelmezett 1-es értéken kell lennie.
5. Kattintson duplán a “security.tls.version.min
“
5-re. Állítsa 3 értékre, és kattintson az OK gombra.
Az eredménynek az alábbi képhez hasonlóan kell kinéznie (Firefox 54-ből Windowson).
Most már egy kicsit biztonságosabban fog böngészni a weben.
Ezt már egy ideje megváltoztattam az én Firefox példányomban, és a legtöbbször jól működött. Vagyis szinte minden weboldal, ami egyáltalán támogatja a TLS-t, támogatja az 1.2-es verziót. Mégis nagyobb biztonságban vagyunk, ha elkerüljük a TLS 1.0-t és az 1.1-et.
Frissítve: 2017. július 14: Lubuntu 16.10-es verzióján futó Firefox 49-es verziója is támogatja ezt a tweaket.
Következő:
FEEDBACK
Lépjen kapcsolatba velem privátban e-mailben a teljes nevemen a Gmail címen vagy nyilvánosan a twitteren a @defensivecomput.
.