Za určitých okolností lze považovat za bezpečné pouze dvě verze protokolu TLS (Transport Layer Security): TLS 1.3 a TLS 1.2. Snažit se přimět banku, aby spolu s ostatními opravila své webové stránky a webové aplikace, je herkulovský úkol; hodně štěstí při pokusech. Přesto můžete připojení TLS chránit úpravou konfigurace prohlížeče.
Je dobré vědět, že můžete udělat něco pro to, abyste alespoň sebe a ostatní koncové uživatele v sítích, na které dohlížíte, ochránili před nepříjemnými útoky na jejich připojení TLS. Ve Firefoxu můžete omezit prohlížeč, aby „mluvil“ pouze TLS 1.3 a TLS 1.2, a omezit tak plochu útoku a phishing. Zde je návod, jak to udělat.
Tady je krátký návod, jak omezit Firefox na dvě nejbezpečnější verze protokolu TLS:
- Krok 1. Omezte Firefox na dvě nejbezpečnější verze protokolu TLS. Otevřete stránku s pokročilým nastavením prohlížeče Firefox.
- Krok 2. Zadejte adresu a stiskněte klávesu Return. Odsouhlaste „zrušení záruky“.
- Krok 3. Odsouhlaste „zrušení záruky“. Vyhledejte nastavení zabezpečení pro TLS
- Krok 4. Vyhledejte nastavení zabezpečení pro TLS. Nastavte nejnižší verzi protokolu TLS, kterou chcete povolit
- Krok 5. V případě, že se pokusíte o odposlech protokolu TLS 1.2, je nutné provést další krok. Nastavte nejvyšší verzi protokolu TLS, kterou chcete povolit
- Krok 6. Otestujte svou konfiguraci
- Krok 7. Zkontrolujte, zda je konfigurace správná. Ověřte výsledky testu
Krok 1. Omezte Firefox na dvě nejbezpečnější verze protokolu TLS. Otevřete stránku s pokročilým nastavením prohlížeče Firefox.
Do adresního řádku zadejte
about:config
a stiskněte klávesu Return.
Krok 2. Zadejte adresu a stiskněte klávesu Return. Odsouhlaste „zrušení záruky“.
Ignorujte varování o zrušení záruky a pokračujte.
Krok 3. Odsouhlaste „zrušení záruky“. Vyhledejte nastavení zabezpečení pro TLS
Ve vyhledávacím řádku zadejte „security.tls“.
Krok 4. Vyhledejte nastavení zabezpečení pro TLS. Nastavte nejnižší verzi protokolu TLS, kterou chcete povolit
Dvakrát klikněte na položku „security.tls.version.min“. Výchozí hodnota je 1. Změňte ji z „1“ na „3“. Tím aktivujete protokol TLS 1.2 a zakážete všechny verze nižší. Tato změna je důležitá, protože zabraňuje útokům na snížení úrovně protokolu bez ohledu na aktuální nastavení serveru. Eliminace možnosti downgradu protokolu umožňuje chránit spojení TLS před některými pokusy o odposlech.
Krok 5. V případě, že se pokusíte o odposlech protokolu TLS 1.2, je nutné provést další krok. Nastavte nejvyšší verzi protokolu TLS, kterou chcete povolit
Ověřte, zda je položka „security.tls.version.max“ nastavena na hodnotu „4“. Tím zajistíte, že Firefox může používat protokol TLS verze 1.3 (nikoli však vyšší; pokud protokol TLS dosáhne vyššího čísla verze, budete muset toto nastavení znovu zkontrolovat).
Nyní bude váš webový prohlížeč Firefox mluvit pouze TLS 1.3 a TLS 1.2; nebudete se moci připojit k webovým stránkám, které tyto dva protokoly nepodporují, ale na druhou stranu – možná byste neměli. Každopádně jich už tolik nezbývá.
Krok 6. Otestujte svou konfiguraci
Přejděte na test prohlížeče společnosti Qualys SSL Labs:
https://www.ssllabs.com/ssltest/viewMyClient.html
Krok 7. Zkontrolujte, zda je konfigurace správná. Ověřte výsledky testu
Nechte test proběhnout. V přehledu podrobností vyhledejte část „Funkce protokolu“. V seznamu podporovaných protokolů ověřte, zda jsou povoleny pouze protokoly TLS 1.3 a TLS 1.2.
Tyto změny nenabízejí absolutní bezpečnost, protože nic takového ani neexistuje. Nabízejí ochranu do té míry, že omezují plochu útoku, aniž by byla ohrožena kompatibilita.
Samozřejmostí je, že pokud náhodou dohlížíte na konfiguraci webového hostitele, musíte podniknout určité kroky, abyste zajistili, že bude odpovídat požadavkům, které kladete na vlastní Firefox v zájmu bezpečnosti návštěvníků (viz „Jak aktivovat HTTP/2 s TLS 1.3 Encryption in NGINX for Secure Connections without a Performance Penalty“ a „TLS 1.3 (with AEAD) and TLS 1.2 cipher suites demystified: how to pick your ciphers wisely“, kde najdete více informací).