Redaktørens opdatering: 24.juni, 11:40am PDT – vi går videre med at deaktivere TLS 1.0 og TLS 1.1 som standard i Firefoks 78, der frigiver 30. juni. Hvis du ser en meddelelse om “sikker forbindelse mislykkedes” som vist i nedenstående indlæg, skal du trykke på knappen for at genaktivere TLS 1.0 og TLS 1.1. Du skal kun trykke på denne knap en gang, ændringen vil være global.
tidligere opdatering: marts 23, 10: 43am PDT – vi har re-aktiveret TLS 1.0 og 1.1 i Firefoks 74 og 75 Beta for bedre at give adgang til sider, der deler kritiske og vigtige oplysninger i løbet af denne tid.
kommer til en brand i nærheden af dig i Marts
Transport Layer Security (TLS) protokollen er de facto middel til at etablere sikkerhed på nettet. Protokollen har en lang og farverig historie, der starter med starten som Secure Sockets Layer (SSL) protokol i begyndelsen af 1990 ‘ erne, lige indtil den nylige udgivelse af den hurtigere (Læs hurtigere og sikrere) TLS 1.3. Behovet for en ny version af protokollen blev født ud fra et ønske om at forbedre effektiviteten og afhjælpe de mangler og svagheder, der findes i tidligere versioner, specifikt i TLS 1.0 og TLS 1.1. Se f.eks. udyret, forbrydelsen og PUDDELANGREBENE.
med begrænset understøttelse af nyere, mere robuste kryptografiske primitiver og krypteringssuiter ser det ikke godt ud for TLS 1.0 og TLS 1.1. Med den sikrere TLS 1.2 og TLS 1.3 til rådighed for tilstrækkeligt at projicere internettrafik, er det tid til at flytte TLS-økosystemet ind i en ny æra, nemlig en, der ikke understøtter svage versioner af TLS som standard. Google, Apple og Microsoft har forpligtet sig til at deaktivere TLS 1.0 og TLS 1.1 som standardindstillinger for sikre forbindelser. Med andre ord vil bro.ser-klienter sigte mod at etablere en forbindelse ved hjælp af TLS 1.2 eller nyere. For mere om begrundelsen bag denne beslutning, se vores tidligere blogindlæg om emnet.
hvordan ser det ud?
Vi implementerede dette i den eksperimentelle version af vores bro. ser, mod slutningen af 2019. Den er nu også tilgængelig i Beta 73. Det betyder, at den mindste TLS-version, der er tilladt som standard, er TLS 1.2. Dette er blevet udført i kode ved at indstille security.tls.version.min=3
, en præference, der angiver den minimale TLS-version, der understøttes. Tidligere blev denne værdi sat til 1. Hvis du opretter forbindelse til sider, der understøtter TLS 1.2 og nyere, skal du ikke bemærke nogen forbindelsesfejl forårsaget af uoverensstemmelser i TLS-versionen.
hvad hvis et site kun understøtter lavere versioner af TLS?
i tilfælde, hvor kun lavere versioner af TLS understøttes, dvs.når den mere sikre TLS 1.2 og TLS 1.3 versioner kan ikke forhandles, vi tillader en tilbagekaldelse til TLS 1.0 eller TLS 1.1 via en tilsidesættelsesknap. Hvis du befinder dig i denne position, vil du se dette:
som bruger skal du aktivt starte denne tilsidesættelse. Men override-knappen giver dig et valg. Du kan selvfølgelig vælge ikke at oprette forbindelse til sider, der ikke giver dig den bedst mulige sikkerhed.
Dette er ikke ideelt for hjemmesideoperatører. Vi vil gerne opfordre operatører til at opgradere deres servere for at tilbyde brugerne en sikker oplevelse på nettet. Vi annoncerede vores planer vedrørende TLS 1.0 og TLS 1.1 deprecation for over et år siden, i Oktober 2018, og nu er tiden inde til at foretage denne ændring. Lad os arbejde sammen for at flytte TLS-økosystemet fremad.
deprecation timeline
Vi planlægger at overvåge telemetri over to Firefoks Beta-cyklusser, og så vil vi lade denne ændring køre til Firefoks frigivelse. Så forvent Firefoks 74 at tilbyde TLS 1.2 som sin minimumsversion til sikre forbindelser, når den sendes den 10.marts 2020. Vi planlægger at beholde override-knappen for nu; den telemetri, vi indsamler, fortæller os mere om, hvor ofte denne knap bruges. Disse resultater informerer derefter vores beslutning om, hvornår knappen skal fjernes helt. Det er usandsynligt, at knappen vil holde sig længe. Vi er forpligtet til fuldstændigt at udrydde svage versioner af TLS, fordi vi hos os mener, at brugersikkerhed ikke bør behandles som valgfri.
igen vil vi gerne understrege vigtigheden af at opgradere internetservere i de kommende måneder, da vi siger farvel til TLS 1.0 og TLS 1.1. R. I.P, du har tjent os godt.
om Thyla van Der Mervi
Kryptografiteknikchef hos Mosilla.
flere artikler af Thyla van der …