Hacky

Editor Aktualizace: 24. června, 11:40 PDT – Budeme pokračovat ve vypnutí TLS 1.0 a TLS 1.1, ve výchozím nastavení Firefox 78, uvolnění 30.června. Pokud se zobrazí zpráva „zabezpečené připojení selhalo“, jak je zobrazeno v níže uvedeném příspěvku, stiskněte tlačítko pro opětovné povolení TLS 1.0 a TLS 1.1. Toto tlačítko byste měli stisknout pouze jednou, změna bude globální.

dřívější aktualizace: 23. března, 10: 43 PDT-znovu jsme povolili TLS 1.0 a 1.1 ve Firefoxu 74 a 75 Beta pro lepší přístup k webům, které během této doby sdílejí důležité a důležité informace.

příchod do Firefoxu ve vašem okolí v březnu

protokol Transport Layer Security (TLS) je de facto prostředkem pro vytvoření zabezpečení na webu. Protokol má dlouhou a bohatou historii, počínaje jeho založení jako Secure Sockets Layer (SSL) protokol v časných 1990, až do nedávné propuštění jazzier (přečtěte si rychlejší a bezpečnější) TLS 1.3. Potřeba nové verze protokolu se zrodila z touhy zlepšit efektivitu a napravit nedostatky a slabiny přítomné v dřívějších verzích, konkrétně v TLS 1.0 a TLS 1.1. Viz zvíře, zločin a pudl útoky, například.

s omezenou podporou novějších, robustnějších kryptografických primitiv a šifrovacích sad nevypadá dobře pro TLS 1.0 a TLS 1.1. S bezpečnější TLS 1.2 a TLS 1.3, které máme k dispozici dostatečně projektu webového provozu, je čas přejít na TLS ekosystému do nové éry, a to ten, který nepodporuje slabá verze TLS ve výchozím nastavení. To byl trvalý sentiment dodavatelů prohlížečů-Mozilla, Google, Apple a Microsoft se zavázaly zakázat TLS 1.0 a TLS 1.1 jako výchozí možnosti pro zabezpečená připojení. Jinými slovy, klienti prohlížeče se budou snažit navázat spojení pomocí TLS 1.2 nebo vyšší. Pro více informací o důvodech tohoto rozhodnutí, viz náš dřívější blogový příspěvek na toto téma.

jak to vypadá ve Firefoxu?

nasadili jsme to do Firefox Nightly, experimentální verze našeho prohlížeče, ke konci roku 2019. Nyní je k dispozici také ve Firefoxu Beta 73. Ve Firefoxu to znamená, že minimální verze TLS povolená ve výchozím nastavení je TLS 1.2. Toto bylo provedeno v kódu nastavením security.tls.version.min=3, což je předvolba označující minimální podporovanou verzi TLS. Dříve byla tato hodnota nastavena na hodnotu 1. Pokud se připojujete k webům podporujícím TLS 1.2 a vyšší, neměli byste si všimnout chyb připojení způsobených neshodami verze TLS.

co když web podporuje pouze nižší verze TLS?

v případech, kdy jsou podporovány pouze nižší verze TLS, tj. při bezpečnějším TLS 1.2 a TLS 1.Verze 3 nelze sjednat, umožňujeme zálohování na TLS 1.0 nebo TLS 1.1 pomocí tlačítka přepsání. Jako uživatele Firefoxu, pokud se ocitnete v této pozici, uvidíte tohle:

screenshot ukazuje "Bezpečné Připojení se Nezdařilo" zpráva, která umožňuje uživateli přepsat TLS 1.0 a 1.1 odmítání"Secure Connection Failed" message that allows user to override the TLS 1.0 and 1.1 deprecation

Jako uživatel, budete muset aktivně iniciujte to přepsat. Ale tlačítko přepsání vám nabízí na výběr. Můžete se samozřejmě rozhodnout nepřipojit se k webům, které vám nenabízejí nejlepší možné zabezpečení.

to není ideální pro provozovatele webových stránek. Rádi bychom povzbudili operátory, aby upgradovali své servery tak, aby uživatelům nabídli bezpečný zážitek na webu. Naše plány týkající se zastaralosti TLS 1.0 a TLS 1.1 jsme oznámili před rokem, v říjnu 2018, a nyní nastal čas tuto změnu provést. Pojďme společně pracovat na posunu ekosystému TLS vpřed.

časová osa Deprecation

plánujeme sledovat telemetrii během dvou beta cyklů Firefoxu a pak necháme tuto změnu přejít na vydání Firefoxu. Takže lze očekávat, že Firefox 74 nabídnout TLS 1.2 jako jeho minimální verze pro bezpečné připojení, když to lodě na 10. Března 2020. Plánujeme prozatím ponechat tlačítko přepsání; telemetrie, kterou shromažďujeme, nám řekne více o tom, jak často se toto tlačítko používá. Tyto výsledky pak budou informovat naše rozhodnutí o tom, kdy tlačítko úplně odstranit. Je nepravděpodobné, že se tlačítko bude dlouho držet. Zavázali jsme se k úplnému vymýcení slabých verzí TLS, protože v Mozille věříme, že bezpečnost uživatelů by neměla být považována za volitelnou.

opět bychom rádi zdůraznili důležitost upgradu webových serverů v nadcházejících měsících, když jsme se rozloučili s TLS 1.0 a TLS 1.1. R. I.P, dobře jsi nám posloužil.

o Thyla van der Merwe

Cryptography Engineering Manager v Mozille.

Další články od Thyla van der Merwe…

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.