actualizarea editorului: 24 Iunie, 11:40am PDT-vom merge mai departe cu dezactivarea TLS 1.0 și TLS 1.1 în mod implicit în Firefox 78, lansând 30 iunie. Dacă vedeți un mesaj „Secure Connection Failed” așa cum este afișat în postarea de mai jos, Apăsați butonul pentru a reactiva TLS 1.0 și TLS 1.1. Ar trebui să apăsați acest buton o singură dată, schimbarea va fi globală.
actualizare anterioară: Martie 23, 10:43 PDT – am re-activat TLS 1.0 și 1.1 În Firefox 74 și 75 Beta pentru a permite mai bine accesul la site-urile care partajează informații critice și importante în acest timp.
venind la un Firefox din apropierea dvs. în martie
Protocolul Transport Layer Security (TLS) este mijlocul de facto pentru stabilirea securității pe Web. Protocolul are o istorie lungă și plină de culoare, începând cu înființarea sa ca protocol Secure Sockets Layer (SSL) la începutul anilor 1990, până la lansarea recentă a jazzier (citiți mai repede și mai sigur) TLS 1.3. Necesitatea unei noi versiuni a protocolului s-a născut din dorința de a îmbunătăți eficiența și de a remedia defectele și punctele slabe prezente în versiunile anterioare, în special în TLS 1.0 și TLS 1.1. Vedeți, de exemplu, atacurile fiarei, criminalității și pudelului.
cu suport limitat pentru primitive criptografice mai noi și mai robuste și suite de cifrare, nu arată bine pentru TLS 1.0 și TLS 1.1. Cu TLS 1.2 și TLS 1.3 mai sigure la dispoziția noastră pentru a proiecta în mod adecvat traficul web, este timpul să mutăm ecosistemul TLS într-o nouă eră, și anume una care nu acceptă versiuni slabe ale TLS în mod implicit. Acesta a fost sentimentul persistent al furnizorilor de browsere – Mozilla, Google, Apple și Microsoft s-au angajat să dezactiveze TLS 1.0 și TLS 1.1 ca opțiuni implicite pentru conexiuni sigure. Cu alte cuvinte, clienții browserului vor urmări să stabilească o conexiune folosind TLS 1.2 sau o versiune ulterioară. Pentru mai multe despre rațiunea din spatele acestei decizii, consultați postarea noastră anterioară pe blog pe această temă.
cum arată asta în Firefox?
am implementat acest lucru în Firefox Nightly, versiunea experimentală a browserului nostru, spre sfârșitul anului 2019. Acum este disponibil și în Firefox Beta 73. În Firefox, aceasta înseamnă că versiunea minimă TLS permisă în mod implicit este TLS 1.2. Aceasta a fost executată în cod prin setarea security.tls.version.min=3
, o preferință care indică versiunea minimă TLS acceptată. Anterior, această valoare a fost setată la 1. Dacă vă conectați la site-uri care acceptă TLS 1.2 și versiuni ulterioare, nu ar trebui să observați erori de conexiune cauzate de nepotrivirile versiunii TLS.
ce se întâmplă dacă un site acceptă doar versiuni mai mici ale TLS?
în cazurile în care sunt acceptate doar versiunile inferioare ale TLS, adică atunci când TLS 1.2 și TLS 1 sunt mai sigure.Versiunile 3 nu pot fi negociate, permitem o rezervă la TLS 1.0 sau TLS 1.1 printr-un buton de suprascriere. Ca utilizator Firefox, Dacă vă aflați în această poziție, veți vedea acest lucru:
ca utilizator, va trebui să inițiați activ această suprascriere. Dar butonul de suprascriere vă oferă o alegere. Desigur, puteți alege să nu vă conectați la site-uri care nu vă oferă cea mai bună securitate posibilă.
acest lucru nu este ideal pentru operatorii de site-uri web. Dorim să încurajăm operatorii să își actualizeze serverele astfel încât să ofere utilizatorilor o experiență sigură pe Web. Am anunțat planurile noastre privind deprecierea TLS 1.0 și TLS 1.1 în urmă cu peste un an, în octombrie 2018, iar acum a venit momentul să facem această schimbare. Să lucrăm împreună pentru a avansa ecosistemul TLS.
cronologie depreciere
am de gând să monitorizeze telemetrie peste două cicluri Beta Firefox, și apoi vom lăsa această plimbare schimbare la Firefox de presă. Așadar, așteptați-vă ca Firefox 74 să ofere TLS 1.2 ca versiune minimă pentru conexiuni sigure atunci când este livrat pe 10 martie 2020. Intenționăm să păstrăm butonul de suprascriere pentru moment; telemetria pe care o colectăm ne va spune mai multe despre cât de des este folosit acest buton. Aceste rezultate vor informa apoi decizia noastră cu privire la momentul în care să eliminăm complet butonul. Este puțin probabil ca butonul să rămână mult timp. Ne-am angajat să eradicăm complet versiunile slabe ale TLS, deoarece la Mozilla credem că securitatea utilizatorilor nu ar trebui tratată ca opțională.
Din nou, am dori să subliniem importanța actualizării serverelor web în următoarele luni, deoarece ne luăm rămas bun de la TLS 1.0 și TLS 1.1. R. I.P, ne-ai servit bine.
despre Thyla van der Merwe
Manager de inginerie criptografică la Mozilla.
Mai multe articole de Thyla van der Merwe…