Tietyissä olosuhteissa vain kahta versiota TLS-protokollasta (Transport Layer Security, kuljetuskerroksen suojausprotokolla) voidaan pitää turvallisina: TLS 1.3 ja TLS 1.2. Se, että yrität saada pankkisi ja kaikki muutkin korjaamaan verkkosivujaan ja verkkosovelluksiaan, on Herculeus-tehtävä; onnea yritykselle. Siitä huolimatta voit suojata TLS-yhteydet muuttamalla selaimen asetuksia.
On hyvä tietää, että voit tehdä jotakin suojellaksesi ainakin itseäsi ja muita valvomiesi verkkojen loppukäyttäjiä ikäviltä hyökkäyksiltä heidän TLS-yhteyksiään vastaan. Firefoxissa voit rajoittaa selaimen ”puhumaan” vain TLS 1.3:sta ja TLS 1.2:sta hyökkäyspinnan rajoittamiseksi ja phishingin rajoittamiseksi. Näin se tehdään.
Tässä on lyhyt ohje Firefoxin rajoittamisesta TLS-protokollan kahteen turvallisimpaan versioon:
- Vaihe 1. Avaa Firefoxin lisäasetukset-sivu.
- Vaihe2. Hyväksy ”mitätöi takuusi”.
- Vaihe 3. Etsi TLS:n suojausasetukset
- Step 4. Säädä TLS-protokollan alin sallittu versio
- Vaihe 5. Suojaa TLS-yhteydet tietyiltä salakuunteluyrityksiltä. Säädä TLS-protokollan korkein sallittu versio
- Vaihe 6. Testaa kokoonpano
- Vaihe 7. Tarkista testitulokset
Vaihe 1. Avaa Firefoxin lisäasetukset-sivu.
Kirjoita osoitepalkkiin
about:config
ja paina Return.
Vaihe2. Hyväksy ”mitätöi takuusi”.
Ilmoita varoitus takuun mitätöimisestä ja jatka.
Vaihe 3. Etsi TLS:n suojausasetukset
Kirjoita hakupalkkiin ”security.tls”.
Step 4. Säädä TLS-protokollan alin sallittu versio
Kaksoisnapsauta merkintää ”security.tls.version.min”. Oletusarvo on 1. Muuta se arvosta ”1” arvoon ”3”. Tämä aktivoi TLS 1.2:n ja estää kaikki sitä pienemmät versiot. Tämä muutos on tärkeä, koska se estää protokollan downgrade-hyökkäykset palvelimen todellisista asetuksista riippumatta. Poistamalla protokollan downgrade-mahdollisuuden voit suojata TLS-yhteydet joiltakin salakuunteluyrityksiltä.
Vaihe 5. Suojaa TLS-yhteydet tietyiltä salakuunteluyrityksiltä. Säädä TLS-protokollan korkein sallittu versio
Varmista, että ”security.tls.version.max” on asetettu arvoon ”4”. Tämä varmistaa, että Firefox voi käyttää TLS 1.3:aa (mutta ei sen yläpuolella; jos TLS saavuttaa korkeamman versionumeron, sinun on tarkasteltava tätä asetusta uudelleen).
Nyt Firefox-selaimesi puhuu vain TLS 1.3:a ja TLS 1.2:ta; et voi muodostaa yhteyttä verkkosivustoihin, jotka eivät tue näitä kahta protokollaa, mutta toisaalta – ehkä sinun ei pitäisi. Oli miten oli, niitä ei ole enää kovin montaa jäljellä.
Vaihe 6. Testaa kokoonpano
Siirry Qualys SSL Labsin selaintestiin:
https://www.ssllabs.com/ssltest/viewMyClient.html
Vaihe 7. Tarkista testitulokset
Anna testin käydä läpi. Etsi yksityiskohtien yleiskatsauksesta kohta ”Protokollan ominaisuudet”. Tarkista tuettujen protokollien luettelosta, että vain TLS 1.3 ja TLS 1.2 on sallittu.
Muutokset eivät tarjoa absoluuttista tietoturvaa, koska sellaista ei ole edes olemassa. Ne tarjoavat suojaa sikäli, että ne rajoittavat hyökkäyspintaa tinkimättä yhteensopivuudesta.
On sanomattakin selvää, että jos satut valvomaan verkkoisännän konfiguraatiota, sinun on ryhdyttävä toimenpiteisiin varmistaaksesi, että se vastaa vaatimuksia, joita asetat omalle Firefoxillesi kävijöidesi turvallisuuden vuoksi (katso ”HTTP/2:n aktivoiminen TLS 1:n kanssa.3 Encryption in NGINX for Secure Connections without a Performance Penalty” ja ”TLS 1.3 (with AEAD) and TLS 1.2 cipher suite demystified: how to pick your ciphers wisly”).