Although its common to think of a secure website as the opposite of an insecure one, the choice is not, in fact, binary. Dla strony internetowej, aby być naprawdę bezpieczne, istnieje około tuzina lub tak kaczki, które wszystkie muszą być wyłożone w rzędzie.
Widząc HTTPS nie oznacza, że bezpieczeństwo jest dobrze zrobione, bezpieczne strony internetowe istnieją w wielu odcieniach szarości. Ponieważ przeglądarki internetowe nie oferują tuzin wskaźników wizualnych, wiele stron, które nie są szczególnie bezpieczne pojawiają się, do wszystkich, ale najbardziej techie nerds, aby być bezpieczne mimo wszystko. Producenci przeglądarek mają głupi rzeczy w dół dla non-techies.
We wrześniu ubiegłego roku, wziąłem Apple do zadania za nie mając wszystkie ich kaczki w rzędzie, pisząc, że niektóre z ich niedopatrzeń bezpieczeństwa pozwoliły witryn Apple do wycieku haseł.
Szczegółowe informacje techniczne w tym artykule pochodzi z doskonałej SSL Server Test z SSL Labs, oddział Qualys. Test analizuje bezpieczne strony internetowe, raportuje pełne krwawe szczegóły techniczne i przypisuje ocenę literową. Wiele z nich nie otrzymuje oceny A. Wiele kaczek nie jest prawidłowo ustawionych w sieci.
Tutaj, mam zamiar skupić się na bardzo pierwszej kaczki, protokół HTTPS sam.
W dawnych czasach protokół został nazwany SSL, Secure Security Layer. Istniały dwie wersje SSL, oznaczone numerami 2 (wydany w 1995 roku) i 3 (wydany w 1996 roku). Nowsze wersje protokołu nazywają się TLS (Transport Layer Security) i istnieją cztery jego wersje, z których każda jest bardziej bezpieczna. Wersja 1.0 TLS pochodzi z 1999 roku, natomiast wersja 1.1, pierwsza w tym wieku, została zdefiniowana w 2006 roku. Najpopularniejszą wersją TLS jest 1.2, która została zdefiniowana w 2008 roku. Wersja 1.3 jest obecnie w fazie projektu.
Z tego co zaobserwowałem za pomocą SSL Server Test, zdecydowana większość bezpiecznych stron internetowych obsługuje TLS w wersjach 1.0, 1.1 i 1.2. Prawie żadna z nich nie obsługuje starszych wersji SSL, co jest dobrą rzeczą.
Strony, które obsługują wszystkie trzy wersje TLS, mogą otrzymać ocenę A od Qualys, co uważam za wątpliwe.
Po pierwsze, TLS 1.0 i 1.1 nie są tak bezpieczne jak TLS 1.2. Dodatkowo, TLS 1.2 jest dość stary. Co to mówi o bezpiecznej witrynie, która nie obsługuje jeszcze protokołu bezpieczeństwa, który został wydany dziewięć lat temu? Nic dobrego.
Jako facet z Defensive Computing, nie ufałbym stronie, która nie obsługuje TLS w wersji 1.2. Na szczęście nie muszę.
Firefox pozwala Ci wybrać wersje protokołu HTTPS, które chcesz, aby obsługiwał.
Kroki poniżej pozwalają wyłączyć TLS 1.0 i TLS 1.1 wraz z antycznym SSL w wersji 3. Po wykonaniu tych czynności Firefox będzie wyświetlał tylko bezpieczne strony internetowe, które obsługują TLS 1.2. Niebezpieczne strony HTTP nie zostaną naruszone. Jesteśmy, w efekcie, w kolejce do pierwszej kaczki.
Ten tweak Firefox został niedawno przetestowany przy użyciu wersji 54 na Windows i Android, a wersja 50 na OS X. To nie jest obsługiwany przez Firefox 7.5 na iOS 10. Nie jest to też nic nowego, po raz pierwszy został wprowadzony w kwietniu 2013 roku.
TWEAKING
1. Wpisz about:config w pasku adresu
2. Przejdź przez ostrzeżenie o utracie gwarancji
3. W pasku wyszukiwania wyszukaj „security.tls„
4. Powinno to zakończyć się wyświetleniem około 10 opcji konfiguracji. Wpis dla „security.tls.version.min” powinien mieć domyślną wartość 1.
5. Kliknij dwukrotnie na „security.tls.version.min„
5. Ustaw ją na 3 i kliknij przycisk OK.
Wynik powinien wyglądać jak na poniższym obrazku (z Firefox 54 na Windows).
Zmienianie Firefoksa tak, aby używał tylko TLS w wersji 1.2
Teraz będziesz przeglądać sieć nieco bezpieczniej.
Zmieniłem to jakiś czas temu w mojej kopii Firefoksa i w przeważającej części było dobrze. To znaczy, prawie każda strona internetowa, która obsługuje TLS w ogóle, obsługuje wersję 1.2. Mimo to jesteśmy bezpieczniejsi, unikając TLS 1.0 i 1.1.
Update: July 14, 2017: Dalsze dochodzenie wykazało, że ten tweak jest również obsługiwany przez Firefoksa w wersji 49 działającego na Lubuntu w wersji 16.10.
Następne: Weryfikacja i testowanie, że Firefox jest ograniczony do TLS 1.2
FEEDBACK
Kontaktuj się ze mną prywatnie przez e-mail pod moim pełnym imieniem i nazwiskiem na Gmailu lub publicznie na twitterze pod @defensivecomput.
.