Och även om det är vanligt att tänka på en säker webbplats som motsatsen till en osäker webbplats, är valet faktiskt inte binärt. För att en webbplats ska vara riktigt säker finns det ett tiotal ankor som alla måste stå på rad.
Att se HTTPS betyder inte att säkerheten är väl genomförd, säkra webbplatser finns i många grå nyanser. Eftersom webbläsare inte erbjuder ett dussintal visuella indikatorer verkar många webbplatser som inte är särskilt säkra, för alla utom de mest teknikintresserade nördarna, ändå vara säkra. Webbläsarleverantörerna har gjort saker och ting enklare för icke-tekniker.
I september förra året tog jag Apple i försvar för att de inte hade alla sina ankor i ordning, och skrev att några av deras säkerhetsbrister gjorde det möjligt för Apples webbplatser att läcka lösenord.
Den detaljerade tekniska informationen i den artikeln kom från det utmärkta SSL Server Test från SSL Labs, en avdelning av Qualys. Testet analyserar säkra webbplatser, rapporterar om alla detaljer och tilldelar ett bokstavsbetyg. Många får inte ett A-betyg. Många ankor är inte uppradade på rätt sätt runt om på webben.
Här kommer jag att fokusera på den allra första ankan, själva HTTPS-protokollet.
Förr i tiden kallades protokollet SSL, Secure Security Layer. Det fanns två versioner av SSL, numrerade 2 (släpptes 1995) och 3 (släpptes 1996). Nyare versioner av protokollet kallas TLS (Transport Layer Security) och det finns fyra versioner av det, där varje version är säkrare. TLS version 1.0 är från 1999 medan version 1.1, den första från detta århundrade, definierades 2006. Den mest populära versionen av TLS är 1.2 som definierades 2008. Version 1.3 är för närvarande i utkaststatus.
Från vad jag har sett med SSL-servertestet har den stora majoriteten av säkra webbplatser stöd för TLS-versionerna 1.0, 1.1 och 1.2. Nästan ingen har fortfarande stöd för de äldre SSL-versionerna, vilket är bra.
Sajter som har stöd för alla tre TLS-versionerna kan få ett A-betyg från Qualys, ett beslut som jag finner tveksamt.
För det första är TLS 1.0 och 1.1 inte lika säkra som TLS 1.2. Dessutom är TLS 1.2 ganska gammalt. Vad säger det om en säker webbplats som ännu inte stöder ett säkerhetsprotokoll som släpptes för nio år sedan? Inget bra.
Som en kille som arbetar med defensiv databehandling skulle jag inte lita på en webbplats som inte har stöd för TLS version 1.2. Som tur är behöver jag inte göra det.
Firefox låter dig välja vilka versioner av HTTPS-protokollet som du vill att den ska stödja.
Med stegen nedan kan du inaktivera TLS 1.0 och TLS 1.1 tillsammans med den urgamla SSL-versionen 3. När du har gjort det kommer Firefox bara att visa säkra webbplatser som stöder TLS 1.2. Osäkra HTTP-webbplatser påverkas inte. Vi ställer i själva verket upp den första ankan.
Denna tweak av Firefox testades nyligen med version 54 på Windows och Android, och version 50 på OS X. Den stöds inte av Firefox 7.5 på iOS 10. Det är inte heller något nytt, det introducerades första gången i april 2013.
TWEAKING
1. Skriv in about:config i adressfältet
2. Klicka dig igenom varningen om att garantin upphör
3. I sökfältet söker du efter ”security.tls”
4. Detta bör sluta med att du får upp cirka 10 konfigurationsalternativ. Inträdet för ”security.tls.version.min” bör ha standardvärdet 1.
5. Dubbelklicka på ”security.tls.version.min”
5. Ställ in värdet på 3 och klicka på OK-knappen.
Resultatet ska se ut som bilden nedan (från Firefox 54 på Windows).
Förbättra Firefox så att den endast använder TLS version 1.2
Nu kommer du att surfa på webben på ett lite säkrare sätt.
Jag ändrade detta för ett tag sedan i mitt exemplar av Firefox och för det mesta har det fungerat bra. Det vill säga, nästan alla webbplatser som stöder TLS överhuvudtaget stöder version 1.2. Vi är ändå säkrare genom att undvika TLS 1.0 och 1.1.
Uppdatering: 14 juli 2017: Ytterligare undersökningar visade att denna tweak också stöds med Firefox version 49 som körs på Lubuntu version 16.10.
Nästa: Kontrollera och testa att Firefox är begränsad till TLS 1.2
FEEDBACK
Kom i kontakt med mig privat via e-post på mitt fullständiga namn på Gmail eller offentligt på twitter på @defensivecomput.