Hoewel het gebruikelijk is om een veilige website te zien als het tegenovergestelde van een onveilige website, is de keuze in feite niet binair. Een website is pas echt veilig als er een tiental eenden op een rij staan.
Als je HTTPS ziet, betekent dat nog niet dat de beveiliging goed is geregeld; veilige websites bestaan in vele grijstinten. Omdat webbrowsers geen dozijn visuele indicatoren bieden, lijken veel sites die niet bijzonder veilig zijn, voor iedereen behalve de meest techneutachtige nerds, toch veilig te zijn. Browserleveranciers hebben de dingen dommer gemaakt voor niet-techneuten.
Afgelopen september nam ik Apple op de korrel omdat ze niet al hun eendjes op een rij hadden, schrijvend dat sommige van hun veiligheidsgebreken Apple websites in staat stelden wachtwoorden te lekken.
De gedetailleerde technische informatie in dat artikel kwam van de uitstekende SSL Server Test van SSL Labs, een divisie van Qualys. De test analyseert beveiligde websites, rapporteert over de volledige bloederige technische details en kent een lettercijfer toe. Velen krijgen geen A-waardering. Veel eenden worden niet goed op een rij gezet op het web.
Hier ga ik me concentreren op de allereerste eend, het HTTPS-protocol zelf.
In vroeger tijden heette het protocol SSL, Secure Security Layer. Er waren twee versies van SSL, genummerd 2 (uitgebracht in 1995) en 3 (uitgebracht in 1996). Recentere versies van het protocol heten TLS (Transport Layer Security) en er zijn vier versies van, waarbij elke iteratie veiliger is. TLS versie 1.0 dateert van 1999 terwijl versie 1.1, de eerste van deze eeuw, in 2006 werd gedefinieerd. De populairste versie van TLS is 1.2, die in 2008 werd gedefinieerd. Versie 1.3 is momenteel in een ontwerp-status.
Van wat ik heb gezien met de SSL Server Test, ondersteunt de overgrote meerderheid van veilige websites TLS versies 1.0, 1.1 en 1.2. Bijna geen enkele ondersteunt nog de oudere SSL-versies, wat een goede zaak is.
Sites die alle drie de versies van TLS ondersteunen, kunnen van Qualys een A-waardering krijgen, een beslissing die ik twijfelachtig vind.
Ten eerste zijn TLS 1.0 en 1.1 niet zo veilig als TLS 1.2. Plus, TLS 1.2 is vrij oud. Wat zegt het over een veilige website die nog geen ondersteuning biedt voor een beveiligingsprotocol dat negen jaar geleden werd uitgebracht? Niets goeds.
Als iemand van Defensive Computing zou ik een website die TLS versie 1.2 niet ondersteunt, niet vertrouwen. Gelukkig hoef ik dat niet te doen.
Firefox laat je de versies van het HTTPS-protocol kiezen die je wilt laten ondersteunen.
Met de onderstaande stappen kun je TLS 1.0 en TLS 1.1 uitschakelen, samen met de oude SSL versie 3. Nadat u dit hebt gedaan, zal Firefox alleen veilige websites weergeven die TLS 1.2 ondersteunen. Onveilige HTTP-websites worden niet beïnvloed. We zijn in feite de eerste eend aan het opstellen.
Deze tweak van Firefox is onlangs getest met versie 54 op Windows en Android, en versie 50 op OS X. Hij wordt niet ondersteund door Firefox 7.5 op iOS 10. Het is ook niets nieuws, het werd voor het eerst geïntroduceerd in april 2013.
TWEAKING
1. Typ about:config
in de adresbalk
2. Klik door de waarschuwing over het vervallen van uw garantie
3. Zoek in de zoekbalk naar “security.tls
“
4. Dit zou uiteindelijk ongeveer 10 configuratieopties moeten weergeven. De vermelding voor “security.tls.version.min
” zou op de standaardwaarde 1.
5 moeten staan. Dubbelklik op “security.tls.version.min
“
5. Stel het in op 3 en klik op de OK knop.
Het resultaat zou er uit moeten zien als in de afbeelding hieronder (van Firefox 54 op Windows).
Nu kunt u wat veiliger over het web surfen.
Ik heb dit een tijdje geleden in mijn exemplaar van Firefox veranderd en voor het grootste deel is het prima gegaan. Dat wil zeggen, bijna elke website die TLS ondersteunt, ondersteunt versie 1.2. Toch zijn we veiliger door TLS 1.0 en 1.1 te vermijden.
Update: 14 juli 2017: Nader onderzoek wees uit dat deze tweak ook wordt ondersteund met Firefox versie 49 die draait op Lubuntu versie 16.10.
Volgende: Verifiëren en testen dat Firefox beperkt is tot TLS 1.2
FEEDBACK
Neem privé contact met me op via e-mail op mijn volledige naam bij Gmail of openbaar via twitter op @defensivecomput.