Hacks

Editor Update: June 24, 11:40am PDT – We will be moving ahead with disabling TLS 1.0 and TLS 1.1 by default in Firefox 78, releasing June 30. Se vir uma mensagem de “ligação segura falhou”, como aparece na publicação abaixo, carregue então no botão para activar de novo o TLS 1.0 e o TLS 1. 1. Você só precisa carregar neste botão uma vez, a mudança será global.

Update anterior: 23 de Março, 10: 43 PDT-nós re-ativamos TLS 1.0 e 1.1 no Firefox 74 e 75 Beta para permitir melhor o acesso a sites compartilhando informações críticas e importantes durante este tempo.

chegando a um Firefox perto de você em Março

o protocolo de segurança da camada de transporte (TLS) é o meio de facto para estabelecer a segurança na Web. O protocolo tem uma longa e colorida história, começando com o seu início como o protocolo Secure Sockets Layer (SSL) no início da década de 1990, até o lançamento recente do jazzier (read faster and safer) TLS 1.3. A necessidade de uma nova versão do protocolo nasceu de um desejo de melhorar a eficiência e corrigir as falhas e fraquezas presentes em versões anteriores, especificamente em TLS 1.0 e TLS 1.1. Veja a besta, o CRIME e os ataques de caniche, por exemplo.

com suporte limitado para primitivas criptográficas mais recentes e robustas e suites de cifra, não parece bom para TLS 1.0 e TLS 1.1. Com o TLS 1.2 e TLS 1.3 mais seguros à nossa disposição para projetar adequadamente o tráfego web, é hora de mover o ecossistema TLS para uma nova era, ou seja, uma que não suporta versões fracas de TLS por padrão. Este tem sido o sentimento constante dos fornecedores de navegador – Mozilla, Google, Apple e Microsoft se comprometeram a desativar TLS 1.0 e TLS 1.1 como opções padrão para conexões seguras. Em outras palavras, os clientes do navegador terão como objetivo estabelecer uma conexão usando TLS 1.2 ou superior. Para mais informações sobre a lógica por trás desta decisão, veja o nosso post anterior no blog sobre o assunto.como é que isto se parece no Firefox?

nós Implantamos isso no Firefox Nightly, a versão experimental do nosso navegador, no final de 2019. Ele agora também está disponível no Firefox Beta 73. No Firefox, isso significa que a versão TLS mínima permitida por padrão é TLS 1.2. Isto foi executado em código ao definir security.tls.version.min=3, uma preferência que indica a versão mínima TLS suportada. Anteriormente, este valor foi definido como 1. Se você está se conectando a sites que suportam TLS 1.2 e up, você não deve notar quaisquer erros de conexão causados por erros de versão TLS.

e se um site só suporta versões mais baixas de TLS?

nos casos em que apenas versões mais baixas de TLS são suportadas, isto é, quando o TLS 1.2 mais seguro e TLS 1.3 versões não podem ser negociadas, nós permitimos um recurso para TLS 1.0 ou TLS 1.1 através de um botão de anulação. Como um usuário do Firefox, se você se encontrar nessa posição, você vai ver isso:

imagem mostrando "Conexão Segura a mensagem" Falha que permite que o usuário substitua o TLS 1.0 e 1.1 depreciação"Secure Connection Failed" message that allows user to override the TLS 1.0 and 1.1 deprecation

Como um usuário, você terá que iniciar activamente esta substituição. Mas o botão de anulação oferece-te uma escolha. Você pode, é claro, escolher não se conectar a sites que não oferecem a melhor segurança possível.isto não é ideal para operadores de sites. Gostaríamos de incentivar os operadores a atualizar seus servidores de modo a oferecer aos usuários uma experiência segura na Web. Anunciamos nossos planos sobre a depreciação do TLS 1.0 e do TLS 1.1 há mais de um ano, em outubro de 2018, e agora chegou a hora de fazer essa mudança. Vamos trabalhar juntos para fazer avançar o ecossistema TLS.

a linha do tempo de depreciação

planeamos monitorizar a telemetria ao longo de dois ciclos Beta do Firefox, e depois vamos deixar esta mudança de rumo para a libertação do Firefox. Então, espere que o Firefox 74 ofereça o TLS 1.2 como sua versão mínima para conexões seguras quando ele navega em 10 de Março de 2020. Planeamos manter o botão de anulação por agora; a telemetria que estamos a recolher irá dizer-nos mais sobre a frequência com que este botão é usado. Estes resultados irão então informar a nossa decisão sobre quando remover o botão inteiramente. É improvável que o botão fique por muito tempo. Estamos comprometidos em erradicar completamente versões fracas de TLS porque na Mozilla acreditamos que a segurança do Usuário não deve ser tratada como opcional.mais uma vez, gostaríamos de salientar a importância de atualizar os servidores web nos próximos meses, enquanto nos despedimos do TLS 1.0 e do TLS 1.1. R. I.P, serviste-nos bem.

About Thyla van der Merwe

Cryptography Engineering Manager at Mozilla.mais artigos de Thyla van der Merwe…

Deixe uma resposta

O seu endereço de email não será publicado.