Editor ‘ s Update: juni 24, 11: 40am PDT – we zullen doorgaan met het uitschakelen van TLS 1.0 en TLS 1.1 standaard in Firefox 78, vrijgeven 30 juni. Als u een bericht “Secure Connection Failed” ziet zoals weergegeven in het bericht hieronder, druk dan op de knop om TLS 1.0 en TLS 1.1 opnieuw in te schakelen. U hoeft maar één keer op deze knop te drukken, de wijziging zal globaal zijn.
eerdere Update: 23 maart, 10: 43am PDT – we hebben TLS 1.0 en 1 opnieuw ingeschakeld.1 in Firefox 74 en 75 Beta beter toegang tot sites delen van kritieke en belangrijke informatie in deze tijd mogelijk te maken.
komt naar een Firefox in uw buurt in Maart
Het Transport Layer Security (TLS) – protocol is de facto het middel voor het instellen van beveiliging op het Web. Het protocol heeft een lange en kleurrijke geschiedenis, te beginnen met zijn oprichting als de Secure Sockets Layer (SSL) protocol in de vroege jaren 1990, tot de recente release van de jazzier (lees sneller en veiliger) TLS 1.3. De behoefte aan een nieuwe versie van het protocol is ontstaan uit de wens om de efficiëntie te verbeteren en de gebreken en zwakke punten in eerdere versies, met name in TLS 1.0 en TLS 1.1, te verhelpen. Zie het beest, misdaad en poedel aanvallen, bijvoorbeeld.
met beperkte ondersteuning voor nieuwere, robuustere cryptografische Primitieven en cipher suites, ziet het er niet goed uit voor TLS 1.0 en TLS 1.1. Met de veiligere TLS 1.2 en TLS 1.3 tot onze beschikking om adequaat webverkeer te projecteren, is het tijd om het TLS-ecosysteem naar een nieuw tijdperk te verplaatsen, namelijk een tijdperk dat standaard geen zwakke versies van TLS ondersteunt. Dit is het blijvende sentiment van browserverkopers – Mozilla, Google, Apple en Microsoft hebben zich ertoe verbonden om TLS 1.0 en TLS 1.1 uit te schakelen als standaardopties voor veilige verbindingen. Met andere woorden, browserclients zullen ernaar streven om een verbinding tot stand te brengen met behulp van TLS 1.2 of hoger. Voor meer informatie over de reden achter deze beslissing, zie onze eerdere blog post over het onderwerp.
hoe ziet dit eruit in Firefox?
we hebben dit geïmplementeerd in Firefox Nightly, de experimentele versie van onze browser, tegen het einde van 2019. Het is nu ook beschikbaar in Firefox Beta 73. In Firefox betekent dit dat de standaard toegestane minimale TLS-versie TLS 1.2 is. Dit is uitgevoerd in code door het instellen van security.tls.version.min=3, een voorkeur die de minimale ondersteunde TLS-versie aangeeft. Voorheen was deze waarde ingesteld op 1. Als u verbinding maakt met sites die TLS 1.2 en hoger ondersteunen, moet u geen verbindingsfouten opmerken die worden veroorzaakt door mismatches van de TLS-versie.
wat als een site alleen lagere versies van TLS ondersteunt?
in gevallen waarin alleen lagere versies van TLS worden ondersteund, d.w.z. wanneer de veiligere TLS 1.2 en TLS 1.3 versies kunnen niet worden onderhandeld, we zorgen voor een fallback naar TLS 1.0 of TLS 1.1 via een override-knop. Als een Firefox-gebruiker, als u zich in deze positie bevindt, zult u dit zien:
als gebruiker moet u deze override actief initiëren. Maar de override knop biedt je een keuze. U kunt er natuurlijk voor kiezen om geen verbinding te maken met sites die u niet de best mogelijke beveiliging bieden.
Dit is niet ideaal voor websiteoperators. We willen operators aanmoedigen om hun servers te upgraden om gebruikers een veilige ervaring op het Web te bieden. We kondigde onze plannen met betrekking tot TLS 1.0 en TLS 1.1 deprecation meer dan een jaar geleden, in oktober 2018, en nu is de tijd gekomen om deze verandering te maken. Laten we samenwerken om het TLS-ecosysteem vooruit te helpen.
Deprecation timeline
We zijn van plan om telemetrie te monitoren over twee Firefox Beta cycli, en dan gaan we deze verandering laten rijden naar Firefox Release. Dus, verwachten Firefox 74 aan te bieden TLS 1.2 als de minimale versie voor veilige verbindingen wanneer het schepen op 10 maart 2020. We zijn van plan om de override knop voor nu te houden; de telemetrie die we verzamelen zal ons meer vertellen over hoe vaak deze knop wordt gebruikt. Deze resultaten zullen ons dan informeren over onze beslissing over wanneer de knop volledig te verwijderen. Het is onwaarschijnlijk dat de knop zal blijven hangen voor lang. We zijn vastbesloten om zwakke versies van TLS volledig uit te roeien, omdat we bij Mozilla van mening zijn dat gebruikersbeveiliging niet als optioneel moet worden behandeld.
nogmaals willen we het belang benadrukken van het upgraden van webservers in de komende maanden, nu we afscheid nemen van TLS 1.0 en TLS 1.1. R. I.P, je hebt ons goed gediend.
over Thyla van der Merwe
Cryptography Engineering Manager bij Mozilla.
Meer artikelen van Thyla van der Merwe…