TLS-viritys: Firefoxin rajoittaminen TLS v1.3:een ja v1.2:een phishing-hyökkäyksiltä suojautumiseksi

Tietyissä olosuhteissa vain kahta versiota TLS-protokollasta (Transport Layer Security, kuljetuskerroksen suojausprotokolla) voidaan pitää turvallisina: TLS 1.3 ja TLS 1.2. Se, että yrität saada pankkisi ja kaikki muutkin korjaamaan verkkosivujaan ja verkkosovelluksiaan, on Herculeus-tehtävä; onnea yritykselle. Siitä huolimatta voit suojata TLS-yhteydet muuttamalla selaimen asetuksia.

On hyvä tietää, että voit tehdä jotakin suojellaksesi ainakin itseäsi ja muita valvomiesi verkkojen loppukäyttäjiä ikäviltä hyökkäyksiltä heidän TLS-yhteyksiään vastaan. Firefoxissa voit rajoittaa selaimen ”puhumaan” vain TLS 1.3:sta ja TLS 1.2:sta hyökkäyspinnan rajoittamiseksi ja phishingin rajoittamiseksi. Näin se tehdään.

Tässä on lyhyt ohje Firefoxin rajoittamisesta TLS-protokollan kahteen turvallisimpaan versioon:

Vaihe 1. Avaa Firefoxin lisäasetukset-sivu.

Kirjoita osoitepalkkiin

about:config

ja paina Return.

Vaihe2. Hyväksy ”mitätöi takuusi”.

Ilmoita varoitus takuun mitätöimisestä ja jatka.

Vaihe 3. Etsi TLS:n suojausasetukset

Kirjoita hakupalkkiin ”security.tls”.

Step 4. Säädä TLS-protokollan alin sallittu versio

Kaksoisnapsauta merkintää ”security.tls.version.min”. Oletusarvo on 1. Muuta se arvosta ”1” arvoon ”3”. Tämä aktivoi TLS 1.2:n ja estää kaikki sitä pienemmät versiot. Tämä muutos on tärkeä, koska se estää protokollan downgrade-hyökkäykset palvelimen todellisista asetuksista riippumatta. Poistamalla protokollan downgrade-mahdollisuuden voit suojata TLS-yhteydet joiltakin salakuunteluyrityksiltä.

Vaihe 5. Suojaa TLS-yhteydet tietyiltä salakuunteluyrityksiltä. Säädä TLS-protokollan korkein sallittu versio

Varmista, että ”security.tls.version.max” on asetettu arvoon ”4”. Tämä varmistaa, että Firefox voi käyttää TLS 1.3:aa (mutta ei sen yläpuolella; jos TLS saavuttaa korkeamman versionumeron, sinun on tarkasteltava tätä asetusta uudelleen).

Rajoitetaan Firefoxin käyttö TLS-versio 1.3:een ja TLS 1.2:een
Rajoitetaan Firefoxin käyttö TLS-versiolla 1.3.3 ja TLS 1.2

Nyt Firefox-selaimesi puhuu vain TLS 1.3:a ja TLS 1.2:ta; et voi muodostaa yhteyttä verkkosivustoihin, jotka eivät tue näitä kahta protokollaa, mutta toisaalta – ehkä sinun ei pitäisi. Oli miten oli, niitä ei ole enää kovin montaa jäljellä.

Vaihe 6. Testaa kokoonpano

Siirry Qualys SSL Labsin selaintestiin:

https://www.ssllabs.com/ssltest/viewMyClient.html

Vaihe 7. Tarkista testitulokset

Anna testin käydä läpi. Etsi yksityiskohtien yleiskatsauksesta kohta ”Protokollan ominaisuudet”. Tarkista tuettujen protokollien luettelosta, että vain TLS 1.3 ja TLS 1.2 on sallittu.

Firefoxin rajoittaminen TLS-versioon 1.3 ja TLS 1.2 tekee selaamisesta turvallisempaa
Qualys SSL Labsin tekemä selaintesti paljastaa, että yritys rajoittaa Firefox TLS-versioihin 1.3 ja 1.2 onnistui hyvin

Muutokset eivät tarjoa absoluuttista tietoturvaa, koska sellaista ei ole edes olemassa. Ne tarjoavat suojaa sikäli, että ne rajoittavat hyökkäyspintaa tinkimättä yhteensopivuudesta.

On sanomattakin selvää, että jos satut valvomaan verkkoisännän konfiguraatiota, sinun on ryhdyttävä toimenpiteisiin varmistaaksesi, että se vastaa vaatimuksia, joita asetat omalle Firefoxillesi kävijöidesi turvallisuuden vuoksi (katso ”HTTP/2:n aktivoiminen TLS 1:n kanssa.3 Encryption in NGINX for Secure Connections without a Performance Penalty” ja ”TLS 1.3 (with AEAD) and TLS 1.2 cipher suite demystified: how to pick your ciphers wisly”).

Vastaa

Sähköpostiosoitettasi ei julkaista.