szerkesztő frissítése: június 24, 11:40 PDT – a TLS 1.0 és a TLS 1.1 alapértelmezett letiltásával haladunk előre a Firefox 78-ban, június 30-án. Ha a “Biztonságos kapcsolat sikertelen” üzenetet látja az alábbi bejegyzésben, akkor nyomja meg a gombot a TLS 1.0 és a TLS 1.1 újbóli engedélyezéséhez. Csak egyszer kell megnyomnia ezt a gombot, a változás globális lesz.
korábbi frissítés: Március 23., 10:43 PDT – újra engedélyeztük a TLS 1.0 és 1-et.1 A Firefox 74 és 75 bétaverziójában, hogy ez idő alatt jobban hozzáférhessen a kritikus és fontos információkat megosztó webhelyekhez.
márciusban érkezik egy közeli Firefoxba
a Transport Layer Security (TLS) protokoll a tényleges eszköz a webes biztonság megteremtéséhez. A protokollnak hosszú és színes története van, kezdve a Secure Sockets Layer (SSL) protokoll kezdetével az 1990-es évek elején, egészen a jazzier (read faster and safer) TLS 1.3 legutóbbi kiadásáig. A protokoll új verziójának szükségessége a hatékonyság javítására és a korábbi verziók, különösen a TLS 1.0 és a TLS 1.1 hiányosságainak orvoslására irányuló vágyból született. Lásd például a vadállatot, a bűnözést és az uszkár támadásokat.
az újabb, robusztusabb kriptográfiai primitívek és titkosító csomagok korlátozott támogatásával a TLS 1.0 és a TLS 1.1 nem néz ki jól. Mivel a biztonságosabb TLS 1.2 és TLS 1.3 a rendelkezésünkre áll a webes forgalom megfelelő tervezéséhez, itt az ideje, hogy a TLS ökoszisztémát egy új korszakba helyezzük, nevezetesen egy olyan korszakba, amely alapértelmezés szerint nem támogatja a TLS gyenge verzióit. Ez volt a böngésző gyártók állandó hangulata – a Mozilla, a Google, az Apple és a Microsoft elkötelezte magát a TLS 1.0 és a TLS 1.1 letiltása mellett a biztonságos kapcsolatok alapértelmezett beállításaként. Más szavakkal, a böngésző kliensek célja a kapcsolat létrehozása A TLS 1.2 vagy újabb verzió használatával. További információ a döntés mögött meghúzódó indokokról, lásd a témával kapcsolatos korábbi blogbejegyzésünket.
hogyan néz ki ez a Firefoxban?
ezt 2019 vége felé telepítettük a Firefox Nightly-ben, a böngésző kísérleti verziójában. Most már elérhető a Firefox Beta 73-ban is. A Firefoxban ez azt jelenti, hogy az alapértelmezés szerint megengedett minimális TLS verzió a TLS 1.2. Ezt kódban hajtották végre a security.tls.version.min=3
beállítással, amely a minimálisan támogatott TLS verziót jelzi. Korábban ezt az értéket 1-re állították. Ha olyan webhelyekhez csatlakozik, amelyek támogatják a TLS 1.2-es vagy újabb verzióját, akkor nem szabad észrevennie a TLS-verzió eltérései által okozott csatlakozási hibákat.
mi történik, ha egy webhely csak a TLS alacsonyabb verzióit támogatja?
olyan esetekben, amikor csak a TLS alacsonyabb verziói támogatottak, azaz amikor a biztonságosabb TLS 1.2 és TLS 1.3 verzió nem tárgyalható, engedélyezzük a TLS 1.0 vagy a TLS 1.1 visszaállítását egy felülíró gomb segítségével. Firefox felhasználóként, ha ebben a helyzetben találja magát, ezt fogja látni:
felhasználóként aktívan kezdeményeznie kell ezt a felülbírálást. De a felülírás gomb választási lehetőséget kínál. Természetesen dönthet úgy, hogy nem csatlakozik olyan webhelyekhez, amelyek nem kínálják a lehető legjobb biztonságot.
Ez nem ideális a weboldal üzemeltetői számára. Arra szeretnénk ösztönözni a szolgáltatókat, hogy frissítsék szervereiket annak érdekében, hogy a felhasználók biztonságos élményt nyújtsanak az Interneten. Több mint egy évvel ezelőtt, 2018 októberében jelentettük be a TLS 1.0 és a TLS 1.1 elavulásával kapcsolatos terveinket, és most eljött az ideje ennek a változásnak. Dolgozzunk együtt a TLS ökoszisztéma előrehaladásán.
elavulás timeline
azt tervezzük, hogy figyelemmel kíséri telemetria két Firefox béta ciklus, majd megyünk, hogy ez a változás lovagolni Firefox kiadás. Tehát várja el, hogy a Firefox 74 a TLS 1.2-t kínálja a biztonságos kapcsolatok minimális verziójaként, amikor 10.Március 2020-én szállítja. Azt tervezzük, hogy egyelőre megtartjuk a felülbíráló gombot; a gyűjtött telemetria többet fog mondani arról, hogy milyen gyakran használják ezt a gombot. Ezek az eredmények ezután tájékoztatják döntésünket arról, hogy mikor kell teljesen eltávolítani a gombot. Nem valószínű, hogy a gomb sokáig marad. Elkötelezettek vagyunk a TLS gyenge verzióinak teljes felszámolása mellett, mert a Mozillánál úgy gondoljuk, hogy a felhasználói biztonságot nem szabad opcionálisnak tekinteni.
ismét szeretnénk hangsúlyozni a webszerverek frissítésének fontosságát az elkövetkező hónapokban, mivel búcsút mondunk a TLS 1.0-nak és a TLS 1.1-nek. R. I.P, jól szolgáltál minket.
Thyla Van der Merwe-ről
kriptográfiai mérnöki menedzser a Mozilla-nál.
további cikkek Thyla Van der Merwe-től …