A TLS (Transport Layer Security) protokollnak csak két verziója tekinthető biztonságosnak bizonyos körülmények között: A TLS 1.3 és a TLS 1.2. Megpróbálja rávenni a bankját mindenki mással együtt, hogy javítsa meg a weboldalait és webes alkalmazásait, ami herkulesi feladat; sok szerencsét hozzá. Ennek ellenére a TLS-kapcsolatokat a böngésző konfigurációjának módosításával megvédheti.
Jó tudni, hogy van valami, amivel legalább saját magát és az Ön által felügyelt hálózatok többi végfelhasználóját megvédheti a TLS-kapcsolataik elleni csúnya támadásoktól. A Firefoxban korlátozhatja a böngészőt, hogy csak TLS 1.3-at és TLS 1.2-t “beszéljen”, hogy korlátozza a támadási felületet és korlátozza az adathalászatot. Íme, hogyan kell ezt megtenni.
Íme egy rövid útmutató a Firefox korlátozásához a TLS protokoll két legbiztonságosabb verziójára:
- 1. lépés. Nyissa meg a Firefox bővített beállítások oldalát.
- 2. lépés. Egyezzen bele a “garancia érvénytelenítésébe”.
- 3. lépés. Keresse meg a TLS biztonsági beállításait
- 4. lépés. Állítsa be az engedélyezni kívánt TLS protokoll legalacsonyabb verzióját
- 5. lépés. Állítsa be az engedélyezni kívánt TLS protokoll legmagasabb verzióját
- 6. lépés. Tesztelje a konfigurációt
- 7. lépés. Ellenőrizze a teszt eredményeit
1. lépés. Nyissa meg a Firefox bővített beállítások oldalát.
A címsorba írja be
about:config
és nyomja meg a Return billentyűt.
2. lépés. Egyezzen bele a “garancia érvénytelenítésébe”.
Ügye el a garancia érvénytelenítésére vonatkozó figyelmeztetést, és folytassa.
3. lépés. Keresse meg a TLS biztonsági beállításait
A keresősávba írja be a “security.tls” szót.
4. lépés. Állítsa be az engedélyezni kívánt TLS protokoll legalacsonyabb verzióját
Dupla kattintás a “security.tls.version.min” bejegyzésre. Az alapértelmezett érték 1. Módosítsa “1”-ről “3”-ra. Ez aktiválja a TLS 1.2-t és letiltja az ennél alacsonyabb verziókat. Ez a módosítás azért fontos, mert a tényleges kiszolgálóbeállításoktól függetlenül megakadályozza a protokoll lefelé irányuló támadásokat. A protokolllefokozás lehetőségének kiküszöbölése lehetővé teszi a TLS-kapcsolatok védelmét egyes lehallgatási kísérletekkel szemben.
5. lépés. Állítsa be az engedélyezni kívánt TLS protokoll legmagasabb verzióját
Ellenőrizze, hogy a “security.tls.version.max” értéke “4” legyen. Ez biztosítja, hogy a Firefox használhassa a TLS 1.3-at, (de nem a felette lévő verziót; ha a TLS magasabb verziószámot ér el, akkor újra meg kell vizsgálnia ezt a beállítást).
Most a Firefox böngészője csak a TLS 1.3-at és a TLS 1.2-t beszéli; nem fog tudni olyan weboldalakhoz csatlakozni, amelyek nem támogatják ezt a két protokollt, de akkor viszont – talán nem is kellene. Akárhogy is, nem sok maradt belőlük.
6. lépés. Tesztelje a konfigurációt
Lépjen át a Qualys SSL Labs böngészőtesztjére:
https://www.ssllabs.com/ssltest/viewMyClient.html
7. lépés. Ellenőrizze a teszt eredményeit
Hagyja, hogy a teszt lefusson. A részletek áttekintésében keresse meg a “Protokolljellemzők” részt. A támogatott protokollok listájában ellenőrizze, hogy csak a TLS 1.3 és TLS 1.2 engedélyezett.
Az ilyen változtatások nem nyújtanak abszolút biztonságot, mivel ilyen nem is létezik. Annyiban nyújtanak védelmet, hogy a kompatibilitás veszélyeztetése nélkül korlátozzák a támadási felületet.
Mondani sem kell, hogy ha történetesen egy webtárhely konfigurációját felügyeli, meg kell tennie néhány lépést annak érdekében, hogy az megfeleljen a látogatói biztonsága érdekében a saját Firefox-jával szemben támasztott követelményeknek (lásd: “Hogyan aktiváljuk a HTTP/2-t TLS 1.3 titkosítás az NGINX-ben a biztonságos kapcsolatokhoz teljesítménybüntetés nélkül” és “TLS 1.3 (AEAD-del) és TLS 1.2 titkosítókészletek demisztifikálva: hogyan válasszuk ki bölcsen a titkosítókat”).