Redaktionsupdate: 24. Juni, 11:40 Uhr PDT – Wir werden TLS 1.0 und TLS 1.1 standardmäßig in Firefox 78 deaktivieren und am 30. Juni veröffentlichen. Wenn Sie die Meldung „Sichere Verbindung fehlgeschlagen“ sehen, wie im folgenden Beitrag angezeigt, klicken Sie auf die Schaltfläche, um TLS 1.0 und TLS 1.1 erneut zu aktivieren. Sie sollten diese Schaltfläche nur einmal drücken müssen, die Änderung wird global sein.Früheres Update: 23. März, 10:43 Uhr PDT – Wir haben TLS 1.0 und 1 wieder aktiviert.1 in Firefox 74 und 75 Beta, um den Zugriff auf Websites, die kritische und wichtige Informationen teilen, während dieser Zeit besser zu ermöglichen.
Kommt im März zu einem Firefox in Ihrer Nähe
Das TLS-Protokoll (Transport Layer Security) ist das De-facto-Mittel zur Herstellung von Sicherheit im Web. Das Protokoll hat eine lange und farbenfrohe Geschichte, beginnend mit seiner Einführung als Secure Sockets Layer (SSL) -Protokoll in den frühen 1990er Jahren bis zur jüngsten Veröffentlichung des Jazzier (read faster and Safer) TLS 1.3. Die Notwendigkeit einer neuen Version des Protokolls entstand aus dem Wunsch heraus, die Effizienz zu verbessern und die Fehler und Schwächen früherer Versionen, insbesondere von TLS 1.0 und TLS 1.1, zu beheben. Sehen Sie zum Beispiel das BIEST, VERBRECHEN und Pudelangriffe.
Mit eingeschränkter Unterstützung für neuere, robustere kryptografische Grundelemente und Verschlüsselungssammlungen sieht es für TLS 1.0 und TLS 1.1 nicht gut aus. Mit den sichereren TLS 1.2 und TLS 1.3, die uns zur Verfügung stehen, um den Webverkehr angemessen zu projizieren, ist es an der Zeit, das TLS-Ökosystem in eine neue Ära zu führen, nämlich eine, die standardmäßig keine schwachen Versionen von TLS unterstützt. Mozilla, Google, Apple und Microsoft haben sich verpflichtet, TLS 1.0 und TLS 1.1 als Standardoptionen für sichere Verbindungen zu deaktivieren. Mit anderen Worten, Browser-Clients zielen darauf ab, eine Verbindung mit TLS 1.2 oder höher herzustellen. Weitere Informationen zu den Gründen für diese Entscheidung finden Sie in unserem früheren Blogbeitrag zu diesem Thema.
Wie sieht das in Firefox aus?
Wir haben dies gegen Ende 2019 in Firefox Nightly, der experimentellen Version unseres Browsers, implementiert. Es ist jetzt auch in Firefox Beta 73 verfügbar. In Firefox bedeutet dies, dass die standardmäßig zulässige TLS-Mindestversion TLS 1.2 ist. Dies wurde im Code ausgeführt, indem security.tls.version.min=3 , eine Einstellung, die die unterstützte TLS-Mindestversion angibt. Zuvor war dieser Wert auf 1 gesetzt. Wenn Sie eine Verbindung zu Websites herstellen, die TLS 1.2 und höher unterstützen, sollten Sie keine Verbindungsfehler bemerken, die durch Nichtübereinstimmungen der TLS-Version verursacht werden.
Was ist, wenn eine Site nur niedrigere Versionen von TLS unterstützt?
In Fällen, in denen nur niedrigere Versionen von TLS unterstützt werden, d. H. wenn die sichereren TLS 1.2 und TLS 1.3 Versionen können nicht verhandelt werden, wir erlauben einen Fallback auf TLS 1.0 oder TLS 1.1 über eine Override-Schaltfläche. Wenn Sie sich als Firefox-Benutzer in dieser Position befinden, sehen Sie Folgendes:
Als Benutzer müssen Sie diese Überschreibung aktiv initiieren. Aber die Override-Taste bietet Ihnen die Wahl. Sie können sich natürlich dafür entscheiden, keine Verbindung zu Websites herzustellen, die Ihnen nicht die bestmögliche Sicherheit bieten.
Dies ist nicht ideal für Website-Betreiber. Wir möchten die Betreiber ermutigen, ihre Server zu aktualisieren, um den Benutzern ein sicheres Erlebnis im Internet zu bieten. Wir haben unsere Pläne zur TLS 1.0- und TLS 1.1-Verwertung vor über einem Jahr, im Oktober 2018, angekündigt, und jetzt ist es an der Zeit, diese Änderung vorzunehmen. Lassen Sie uns zusammenarbeiten, um das TLS-Ökosystem voranzubringen.
Deprecation Timeline
Wir planen, Telemetrie über zwei Firefox Beta-Zyklen zu überwachen, und dann werden wir diese Änderung Fahrt zu Firefox Release lassen. Erwarten Sie also, dass Firefox 74 TLS 1.2 als Mindestversion für sichere Verbindungen anbietet, wenn es am 10. März 2020 ausgeliefert wird. Wir planen, die Override-Taste vorerst beizubehalten; Die Telemetrie, die wir sammeln, wird uns mehr darüber sagen, wie oft diese Taste verwendet wird. Diese Ergebnisse informieren dann unsere Entscheidung darüber, wann die Schaltfläche vollständig entfernt werden soll. Es ist unwahrscheinlich, dass der Knopf lange bleibt. Wir setzen uns dafür ein, schwache Versionen von TLS vollständig zu beseitigen, da wir bei Mozilla der Meinung sind, dass die Benutzersicherheit nicht als optional behandelt werden sollte.
Auch hier möchten wir betonen, wie wichtig es ist, Webserver in den kommenden Monaten zu aktualisieren, da wir uns von TLS 1.0 und TLS 1.1 verabschieden. R.I.P, du hast uns gut gedient.
Über Thyla van der Merwe
Cryptography Engineering Manager bei Mozilla.
Weitere Artikel von Thyla van der Merwe…