TLS-tune-up: hur du begränsar Firefox till TLS v1.3 och v1.2 för att skydda mot nätfiskeattacker

Bara två versioner av TLS-protokollet (Transport Layer Security) kan betraktas som säkra under vissa omständigheter: TLS 1.3 och TLS 1.2. Att försöka få din bank och alla andra att åtgärda sina webbplatser och webbapplikationer är en herkulesuppgift. Trots detta kan du skydda TLS-anslutningar genom att ändra webbläsarens konfiguration.

Det är bra att veta att det finns något du kan göra för att skydda åtminstone dig själv och de andra slutanvändarna i de nätverk som du övervakar från otäcka attacker mot deras TLS-anslutningar. I Firefox kan du begränsa webbläsaren till att ”tala” endast TLS 1.3 och TLS 1.2 för att begränsa angreppsytan och begränsa phishing. Så här gör du.

Här är en kort beskrivning av hur du begränsar Firefox till de två säkraste versionerna av TLS-protokollet:

Steg 1. Öppna sidan för avancerade inställningar i Firefox.

I adressfältet skriver du

about:config

och trycker på Retur.

Steg 2. Godkänn att ”upphäva din garanti”.

Ignorera varningen om att upphäva din garanti och fortsätt.

Steg 3. Hitta säkerhetsinställningarna för TLS

I sökfältet skriver du ”security.tls”.

Steg 4. Justera den lägsta versionen av det TLS-protokoll som du vill tillåta

Dubbelklicka på posten ”security.tls.version.min”. Standardvärdet är 1. Ändra det från ”1” till ”3”. Detta kommer att aktivera TLS 1.2 och förbjuda alla versioner som är lägre än detta. Den här ändringen är viktig eftersom den förhindrar protokollnedgraderingsattacker oberoende av de faktiska serverinställningarna. Genom att eliminera möjligheten till en protokollnedgradering kan du skydda TLS-anslutningar från vissa försök till avlyssning.

Steg 5. Justera den högsta versionen av TLS-protokollet som du vill tillåta

Kontrollera att ”security.tls.version.max” är inställd på ”4”. Detta säkerställer att Firefox kan använda TLS 1.3, (men inte högre; om TLS når ett högre versionsnummer måste du återkomma till den här inställningen).

Begränsning av Firefox till TLS version 1.3 och TLS 1.2
Begränsning av Firefox till TLS version 1.3 och TLS 1.2
Begränsning av Firefox till TLS version 1.3 och TLS 1.2

Nu talar din webbläsare Firefox endast TLS 1.3 och TLS 1.2. Du kommer inte att kunna ansluta till webbplatser som inte har stöd för dessa två protokoll, men å andra sidan – du kanske inte borde göra det. Hur som helst finns det inte så många av dem kvar.

Steg 6. Testa din konfiguration

Ta dig över till Qualys SSL Labs webbläsartest:

https://www.ssllabs.com/ssltest/viewMyClient.html

Steg 7. Verifiera testresultaten

Låt testet gå igenom. I översikten över detaljer letar du efter avsnittet ”Protokollfunktioner”. I listan över protokoll som stöds kontrollerar du att endast TLS 1.3 och TLS 1.2 tillåts.

Begränsning av Firefox till TLS version 1.3 och TLS 1.2 gör surfningen säkrare
Browsertest av Qualys SSL Labs avslöjar att försöket att begränsa Firefox till TLS 1.3 och 1.2 lyckades

De här ändringarna ger ingen absolut säkerhet eftersom en sådan inte ens finns. De erbjuder skydd såtillvida att de begränsar angreppsytan utan att kompromissa med kompatibiliteten.

Det säger sig självt att om du råkar övervaka konfigurationen av ett webbhotell måste du vidta vissa åtgärder för att se till att det lever upp till de krav som du ställer på din egen Firefox för dina besökares säkerhets skull (se ”Hur man aktiverar HTTP/2 med TLS 1.3-kryptering i NGINX för säkra anslutningar utan prestandaförluster” och ”TLS 1.3 (med AEAD) och TLS 1.2 cipher suites demystified: how to pick your ciphers wisely” för mer information).

.

Lämna ett svar

Din e-postadress kommer inte publiceras.