Saltar al contenido

Navegador en ruta para bloquear 850,000 sitios TLS 1.0

Firefox Nightly no puede conectarse de forma segura a un sitio web TLS 1.0

[ad_1]

Más de 850,000 sitios web todavía confían en los obsoletos protocolos TLS 1.0 y TLS 1.1 que están programados para ser bloqueados por la mayoría de los navegadores web este mes. Estas versiones anteriores del protocolo Transport Layer Security, que datan de 1999 y 2006, son vulnerables a ataques graves.
que se han resuelto en versiones posteriores. Entre los sitios que aún usan estas configuraciones obsoletas se encuentran los principales bancos
gobiernos
noticias
y telecomunicaciones
industria. Grandes y pequeños, estos sitios web se verán descarrilados por alertas de navegador de página completa, con la posibilidad adicional de ser bloqueados permanentemente más adelante.

Todo esto sucede a pesar de más de una advertencia. A finales de 2018, los cuatro principales proveedores de navegadores: Mozilla
Google
Manzana
y Microsoft
– anunciaron conjuntamente la desaprobación de TLS 1.0 y 1.1, con el soporte eliminado de sus navegadores en marzo de 2020 o poco después. Sin embargo, algunos sitios importantes han ignorado estas advertencias y hasta ahora no han podido cambiar a una versión TLS más moderna de 1.0.

  Firefox Nightly no puede conectarse de forma segura a un sitio web TLS 1.0

Firefox Nightly y Beta ya han eliminado la compatibilidad con TLS 1.0 y TLS 1.1 y muestran una advertencia intersticial de página completa, aunque actualmente permiten usuarios para ignorarlo y continuar accediendo al sitio web afectado.

Incluido en la lista está Huawei
, que ya está bajo fuego por su poco tranquilizador
prácticas de seguridad Pero Huawei no solo deja caer los servidores TLS 1.0 a través de las ranuras: la red móvil más grande del Reino Unido, O2, utiliza servicios de redirección basados ​​en TLS 1.0 en https://o2.co.uk
. Los sitios web del gobierno tampoco son una excepción, incluido el departamento de justicia de Sudáfrica, justice.gov.za
y el Centro de Servicio de Impuestos de California, tax.ca.gov
. El uso de TLS 1.0 también está particularmente extendido en sitios o servicios internos menos populares, lugares donde las alertas de seguridad del navegador pueden pasar desapercibidas por algún tiempo.

La primera versión
del protocolo de seguridad de la capa de transporte, o TLS, fue introducido por el IETF como una actualización del protocolo Secure Sockets Layer (SSL) 3.0 desarrollado por Netscape en 1996. Estos protocolos están destinados a proteger los sistemas de comunicación en redes no confiables de imitación, espionaje y manipulación de mensajes. Sin embargo, desde su primer lanzamiento, se han descubierto múltiples ataques criptográficos contra protocolos de 21 años de edad, que apuntan a un cifrado incorrecto, algoritmos de intercambio de claves débiles y fugas de información de los ataques de canal lateral. Algunos de estos ataques incluyen, BESTIA
POODLE
, SUERTE 13
y SWEET 32
. TLS 1.1
, estandarizado en 2006, ha abordado muchos de los problemas de TLS 1.0, pero ha sido mejorado por TLS 1.2
en 2008, poco más de dos años después. Después de haber sido un protocolo posterior, solo 9.158 de los sitios visitados por Netcraft ofrecen TLS 1.1 como el protocolo más reciente. Hoy, TLS 1.0 y 1.1 se consideran inseguros.

<img src = "http://news.netcraft.com/images/2020/02/tls1-secure-connection-failed-chrome.png" alt = "Chrome también planea mostrar una advertencia de página completa, pero la opción es ignorar la advertencia y pasar al sitio está oculto detrás del clic "Avanzado" y está formulado para disuadir a los usuarios de visitar el sitio con más fuerza que Firefox.

En vista de En los últimos TLS 1.0 y 1.1, muchos navegadores han presentado a los visitantes de estos sitios indicaciones en la interfaz de usuario que indican el uso de estos protocolos inseguros. Chrome 79, por ejemplo, ha comenzado a utilizar palabras "no estoy seguro"
en la barra de direcciones, y Firefox muestra un triángulo amarillo.

 Firefox advirtió a los usuarios cuando visitaban los sitios web de TLS 1.0

Con el fin de detener TLS 1.0 y 1.1, los navegadores web ya advirtieron a los usuarios

Algunos sitios están usando servidores TLS 1.0 únicamente para administrar redirecciones de un dominio a otro. https://telecomitalia.it
Es un ejemplo, que simplemente redirige a www.tim.it
. Al aprovechar los esfuerzos colectivos de los navegadores web para indicar el uso de conexiones TLS 1.0 inseguras a los visitantes, configuraciones como estas han sido excepcionalmente delgadas y prácticamente imposibles de detectar para el usuario promedio o el operador del sitio , dado que se alejan de TLS 1.0, solo se muestra un sitio antes de la advertencia del navegador. Los servidores HTTPS como estos proporcionan un ejemplo de un caso en el que TLS se usa más para la interoperabilidad que la seguridad real. Sin embargo, con los navegadores que interrumpen las conexiones a los sitios TLS 1.0, estos tipos de sitios son como una bomba de tiempo, ya que los redireccionamientos no funcionarán después de las actualizaciones del navegador, lo que puede llevar a los visitantes a creer que esos sitios web están inactivos o por lo menos, poco confiable.

Otro caso límite en el que los navegadores han luchado previamente para resaltar el uso de TLS obsoletos se refiere a API y recursos entre fuentes. Partes de algunas redes publicitarias son un ejemplo, donde los scripts y el contenido de iframe se alojan para su inclusión en otros sitios web, aunque algunos de estos recursos se ofrecen exclusivamente en TLS 1.0, los navegadores generalmente no indican su interfaz normal. usuario de seguridad. Pero estos recursos pronto también serán bloqueados por los navegadores, interrumpiendo cualquier funcionalidad que deban proporcionar.

El uso de TLS 1.0 en sitios web de comercio electrónico como medida de protección de datos del usuario ha sido prohibido por la ley de seguridad de datos de la industria de tarjetas de pago desde junio de 2018
y muchos sitios web ya han migrado. Sin embargo, PCI DSS nunca ha impuesto tales requisitos en sistemas donde HTTPS o TLS no se utilizan como medida de seguridad (y ciertamente no tienen autoridad sobre todos los sitios web en general), por lo que algunos administradores de sitios web pueden habiendo percibido contenido inactivo. Pero los navegadores son custodios de la Web y tienen un tipo único de autoridad sobre todos los sitios web. A diferencia de los organismos estándar de seguridad, son capaces de implementar cambios y han ejercido regularmente ese poder. Los sitios web de acción lenta a menudo han sido atrapados por la acción del navegador en el pasado, por ejemplo, cuando las interfaces del navegador comenzaron a resaltar el uso de SHA-1
y penalizar a los sitios web por usar HTTP de texto plano
. Los navegadores no hacen excepciones: no importa si usa HTTPS para proteger los datos de los clientes, mejora su estado entre los motores de búsqueda o simplemente usa HTTPS para fines HTTPS; si no sigue sus reglas, sus sitios

Pero ¿Por qué le toma tanto tiempo a alguien saltar a TLS 1.2, la versión mínima segura de TLS? TLS 1.1 se convirtió en un estándar en 2006 y TLS 1.2 en 2008, inicialmente no atrajeron mucha atención, y muchas personas en ese momento creían que el nivel de seguridad proporcionado por TLS 1.0 era simplemente lo suficientemente bueno . Comenzó hasta más tarde cuando las fallas con SSL 3.0 y TLS 1.0 comenzaron a darse cuenta de que la comunidad web comenzó a presionar para la adopción de TLS 1.1 y TLS 1.2. Los beneficios de TLS 1.2 obtienen un amplio soporte de navegador hasta cinco años y medio después de su estandarización, cuando Firefox 27 agregó soporte en 2014, el último navegador importante en hacerlo. Pero también los sistemas operativos y el software del servidor tomaron algún tiempo para ser explotados y se usaron como una actualización de actualización. Aún hoy, los sistemas heredados de fin de vida útil, como RHEL 5, Debian 6 (Squeeze) y Windows Server 2003, que nunca son compatibles con TLS 1.2, todavía se usan en la Web.

Eliminación de la compatibilidad del lado del cliente para estos protocolos los más antiguos son la forma más efectiva de garantizar que las vulnerabilidades asociadas ya no puedan presentar riesgos. La web es un ecosistema en constante evolución y la versión más reciente de TLS, versión 1.3
Estandarizado en agosto de 2018, ya ha sido implementado por la mayoría de los principales proveedores de navegadores y servidores. La rápida adopción de TLS 1.3, en comparación con TLS 1.2, puede deberse no solo a las mejoras de seguridad, sino también al rendimiento.

Puede averiguar si su sitio está ejecutando una versión actualizada de TLS consultando su informe en el sitio de Netcraft
.

[ad_2]