Bara två versioner av TLS-protokollet (Transport Layer Security) kan betraktas som säkra under vissa omständigheter: TLS 1.3 och TLS 1.2. Att försöka få din bank och alla andra att åtgärda sina webbplatser och webbapplikationer är en herkulesuppgift. Trots detta kan du skydda TLS-anslutningar genom att ändra webbläsarens konfiguration.
Det är bra att veta att det finns något du kan göra för att skydda åtminstone dig själv och de andra slutanvändarna i de nätverk som du övervakar från otäcka attacker mot deras TLS-anslutningar. I Firefox kan du begränsa webbläsaren till att ”tala” endast TLS 1.3 och TLS 1.2 för att begränsa angreppsytan och begränsa phishing. Så här gör du.
Här är en kort beskrivning av hur du begränsar Firefox till de två säkraste versionerna av TLS-protokollet:
- Steg 1. Öppna sidan för avancerade inställningar i Firefox.
- Steg 2. Godkänn att ”upphäva din garanti”.
- Steg 3. Hitta säkerhetsinställningarna för TLS
- Steg 4. Justera den lägsta versionen av det TLS-protokoll som du vill tillåta
- Steg 5. Justera den högsta versionen av TLS-protokollet som du vill tillåta
- Steg 6. Testa din konfiguration
- Steg 7. Verifiera testresultaten
Steg 1. Öppna sidan för avancerade inställningar i Firefox.
I adressfältet skriver du
about:config
och trycker på Retur.
Steg 2. Godkänn att ”upphäva din garanti”.
Ignorera varningen om att upphäva din garanti och fortsätt.
Steg 3. Hitta säkerhetsinställningarna för TLS
I sökfältet skriver du ”security.tls”.
Steg 4. Justera den lägsta versionen av det TLS-protokoll som du vill tillåta
Dubbelklicka på posten ”security.tls.version.min”. Standardvärdet är 1. Ändra det från ”1” till ”3”. Detta kommer att aktivera TLS 1.2 och förbjuda alla versioner som är lägre än detta. Den här ändringen är viktig eftersom den förhindrar protokollnedgraderingsattacker oberoende av de faktiska serverinställningarna. Genom att eliminera möjligheten till en protokollnedgradering kan du skydda TLS-anslutningar från vissa försök till avlyssning.
Steg 5. Justera den högsta versionen av TLS-protokollet som du vill tillåta
Kontrollera att ”security.tls.version.max” är inställd på ”4”. Detta säkerställer att Firefox kan använda TLS 1.3, (men inte högre; om TLS når ett högre versionsnummer måste du återkomma till den här inställningen).
Nu talar din webbläsare Firefox endast TLS 1.3 och TLS 1.2. Du kommer inte att kunna ansluta till webbplatser som inte har stöd för dessa två protokoll, men å andra sidan – du kanske inte borde göra det. Hur som helst finns det inte så många av dem kvar.
Steg 6. Testa din konfiguration
Ta dig över till Qualys SSL Labs webbläsartest:
https://www.ssllabs.com/ssltest/viewMyClient.html
Steg 7. Verifiera testresultaten
Låt testet gå igenom. I översikten över detaljer letar du efter avsnittet ”Protokollfunktioner”. I listan över protokoll som stöds kontrollerar du att endast TLS 1.3 och TLS 1.2 tillåts.
De här ändringarna ger ingen absolut säkerhet eftersom en sådan inte ens finns. De erbjuder skydd såtillvida att de begränsar angreppsytan utan att kompromissa med kompatibiliteten.
Det säger sig självt att om du råkar övervaka konfigurationen av ett webbhotell måste du vidta vissa åtgärder för att se till att det lever upp till de krav som du ställer på din egen Firefox för dina besökares säkerhets skull (se ”Hur man aktiverar HTTP/2 med TLS 1.3-kryptering i NGINX för säkra anslutningar utan prestandaförluster” och ”TLS 1.3 (med AEAD) och TLS 1.2 cipher suites demystified: how to pick your ciphers wisely” för mer information).
.