The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В ночных сборках Firefox отключена поддержка TLS 1.0 и TLS 1.1

29.09.2019 09:10

В ночных сборках Firefox по умолчанию отключена поддержка протоколов TLS 1.0 и TLS 1.1 (настройка security.tls.version.min выставлена в значение 3, устанавливающее TLS 1.2 как минимальную версию). В стабильных выпусках TLS 1.0/1.1 планируют отключить в марте 2020 года. В Chrome поддержка TLS 1.0/1.1 будет прекращена в Chrome 81, который ожидается в марте 2020 года.

Спецификация TLS 1.0 была опубликована в январе 1999 года. Спустя семь лет было выпущено обновление TLS 1.1 с улучшениями безопасности, связанными с генерацией векторов инициализации и добавочного заполнения. В настоящее время комитет IETF (Internet Engineering Task Force), занимающийся развитием протоколов и архитектуры интернета, развивает черновик спецификации, переводящей протоколы TLS 1.0/1.1 в разряд устаревших. По данным сервиса SSL Pulse по состоянию на 3 сентября протокол TLS 1.2 поддерживают 95.8% web-сайтов, допускающих установку защищённых соединений, а TLS 1.3 - 17.7%. Соединения по TLS 1.1 допускают 75.5% HTTPS-сайтов, а TLS 1.0 - 65.5%.

Главными проблемами TLS 1.0/1.1 является отсутствие поддержки современных шифров (например ECDHE и AEAD) и требование поддержки старых шифров, надёжность которых на современном этапе развития вычислительной техники поставлена под сомнение (например, требуется поддержка TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, для проверки целостности и аутентификации используется MD5 и SHA-1). Поддержка устаревших алгоритмов уже приводила к появлению таких атак, как ROBOT, DROWN, BEAST, Logjam и FREAK. Тем не менее, данные проблемы непосредственно не являлись уязвимостями протокола и закрывались на уровне его реализаций. В самих протоколах TLS 1.0/1.1 отсутствуют критические уязвимости, которые можно использовать для осуществления практических атак.

  1. Главная ссылка к новости (https://www.soeren-hentzschel....)
  2. OpenNews: В Firefox 71 появится новый интерфейс для просмотра TLS-сертификатов
  3. OpenNews: Около 5.5% сайтов используют уязвимые реализации TLS
  4. OpenNews: Дополнение к Firefox, позволяющее сайтам обнаруживать подмену TLS-сертификата
  5. OpenNews: Раскрыты детали новой атаки на различные реализации TLS
  6. OpenNews: Firefox, Chrome, Edge и Safari прекратят поддержку TLS 1.0 и TLS 1.1
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: firefox, tls
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (47) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Лох (?), 10:38, 29/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Все правильно сделали
     
  • 1.2, BSD_Cucks_BTFO (?), 10:40, 29/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +13 +/
    Когда уже обязательный TLS 1.3? Старые телефоны сами собой не обновятся. Куда смотрят маркетолухи?
     
     
  • 2.6, пох. (?), 11:21, 29/09/2019 [^] [^^] [^^^] [ответить]  
  • –11 +/
    ну вот, смотрят же ж - просто лягушку надо варить - медленно, а то ж выскочит.

    через пол-годика запретят все что ниже 1.2, хотя никаких реальных причин этому нет - кто хочет "безопасТность", и так давно мог убрать все "неправильные" шифры, а кто хочет чтоб работало - тому похрен что они "неправильные", соседу Васяну все равно не осилить, а от товарщимайора не поможет, он из бутылочки не выпить предложит.

    еще немножко - и будет только распрекрасный 1.3 (окончательно хоронящий хотя бы теоретическую возможность разработки протокола, обходящегося без дурацкого sni), и побежите менять, как миленькие. А кто не все - того гугель уже исключил из результатов поиска, а завтра и открываться на его мобилах не будет.

     
     
  • 3.12, suffix (ok), 14:02, 29/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Так и замечательно что только tls 1.3 останестся - при включенной в браузере (в лисе по умолчанияю, в хроме в ручную переключить надо) поддержке early_data (0-RTT) и если сайт поддерживает то ещё и быстрота повторных соединений увеличивается - чем плохо то ?

    Паранойя же на счёт товарища майора к 99% сайтов никакого отношения не имеет. Это только ваши личные тараканы.

     
     
  • 4.17, Аноним (17), 17:02, 29/09/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Дык тащмайор не сайты разрабатывает. Он просто сидит между тобой и мемасиками и ждет, когда ты своим комментом разожжешь ненависть к определенной группе населения.
     
     
  • 5.19, suffix (ok), 17:16, 29/09/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Те кто боится за мемасики (а уж тем более из посетителей этого сайта) - все из под VPN через TOR сидят. Товарищу майору ловить нечего !
     
     
  • 6.25, онанимас (?), 21:38, 29/09/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >  все из под VPN через TOR сидят во вконтакте, зарегистрированном на свою персональную сим-карту
     
     
  • 7.37, тов. майор (?), 07:14, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ну что вы, что вы - разумеется, карта куплена на савке, зарегистрирована на Кыргымбалды Жормагомедова (кстати, это наш осведомитель, и продавец славянской внешности - тоже), и мы ничего не знаем о ее истином владельце. Кроме, разумеется, местоположения с точностью до метра в любое время суток, профиля втентакля, мэйлврушечки и гуглопочты, google id, всех других сим-карт побывавших в том же мобильнике, номера банковсих счетов (слил банк, которому он слил эту карту - а мэйлврушечка привязала профиль на поддельное имя к бановской информации - ага, банки радостно делятся, так что теперь известно и настоящее. Вместе с адресом прописки, местом работы и любимой рыгаловкой на углу, где он платил кредиткой этого банка.) и прочего, по мелочи.

    Зато он уже обновил софт на своем локалхосте, и у него там сплошной tls 1.3 - молодец!

     
  • 4.21, пох. (?), 21:03, 29/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    плохо тем, что это интересно исключительно жертвам гугля, гугля и г...мордокниги, возможно.

    Всем остальным от 0rtt не жарко и не холодно, просто кое-кто, как обычно, поленился разобраться в технологии.

    Причем гуглю, гуглю и гуглю никто и сейчас совершенно не мешает использовать распрекрасный tls1.456 с божественным 0rtt - и для этого совершенно незачем уничтожать в браузерах любые другие версии.

    Но так лох не купит новую гуглемобилу заподорого, а вот на это гугель пойтить не могет.

    Поэтому принудительное впихивание ненужно1.3 идет по всем фронтам.

    > Паранойя же на счёт товарища майора к 99% сайтов никакого отношения не имеет.

    да ну?
    > Это только ваши личные тараканы.

    я не работаю в мурзилакорп, не надо на меня их тараканов-то скидывать. Поднимите гляделки повыше - "Главными проблемами TLS 1.0/1.1 является отсутствие поддержки современных шифров (например ECDHE и AEAD) и требование поддержки старых шифров, надёжность которых на современном этапе развития вычислительной техники поставлена под сомнение" - написал не я. Это вам перевели близко к тексту бред именно мазиловского проповедника.

    А мои данные - да, в полной безопасности с нисикьюрно, нисикьюрно, плёхим, плёхим TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
    - и никакой васян их не расшифрует. Он их, собственно, и не получит вообще.

    Но их перестанет индексировать гугель (впрочем, уже, конечно, пофигу) а потом и вместо страницы будет показываться пустое место без кнопки "продолжить" или хотя бы внятного сообщения об ошибке.
    Ну разумеется, это случайно.

     
  • 4.29, Аноним (29), 23:01, 29/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Это только ваши личные тараканы.

    Попадались сайты в РФ где ещё версия ссл3 используется. Не ходить не вариант. Отчетность сдается в госструктуры через такие сайты. Надеюсь ключом можно будет обратно вернуть поддержку старых версий. И не выпилят они её с концами.

     
     
  • 5.31, suffix (ok), 23:08, 29/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну тогда только посочувствовать Вам :( Неужто правда ssl3 ?
     
  • 5.36, Total Anonimus (?), 04:25, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Как только все эти сайты перестанут открываться в "самом замечательном браузере" - сразу побегут обновлять протокол . А в лисе специально отключат не сразу , а подождут пока спящие проснутся .
     
     
  • 6.38, пох. (?), 07:21, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    не побегут - во-первых, в требованиях написано - "internet explorer 6+". Во-вторых это госконтора, ей бегать по статусу неположено, несолидно.

    Объявят конкурс на улучшение сайта в целях дальнейшего улучшения. Пол-года пособирают заявки. Выиграет контора сына прокурора. Наймет харьковского аутсорсера за три рубля в месяц. К 2022му может, конечно, и начнут работать...

    Оно может и хорошо - а то вон online.vtb.ru улучшайки на днях улучшили - теперь немодным браузером уже не открывается вообще. Нельзя же ведь использовать не самую-самую распоследнюю версию б-жественного vue.js? Зато офлайн-генераторы на смарткартах - теперь немодно, и ни в одном офисе уже даже не помнят, что это и как работало. sms'очки ваше всьо. Отвязать нахрен телефон - тоже уже нельзя.

     
  • 2.22, Аноним (22), 21:13, 29/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Берёшь NDK с сайта гугла.
    Берёшь boringssl с сайта гугла.
    Собираешь.
    Заменяешь системные библиотеки.
     
     
  • 3.24, пох. (?), 21:16, 29/09/2019 Скрыто модератором
  • +/
     

  • 1.3, Аноним (3), 10:45, 29/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Мозилла бегает на побегушках и реализует хотелки гугеля быстрее самого гугеля, в результате "фф плохой, хромой хороший".
     
     
  • 2.8, мурзилла (?), 11:26, 29/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    как будто гугель нам не за это и отстегивает?

     
  • 2.33, НяшМяш (ok), 23:23, 29/09/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > В стабильных выпусках TLS 1.0/1.1 планируют отключить в марте 2020 года.
    > В Chrome поддержка TLS 1.0/1.1 будет прекращена в Chrome 81, который ожидается в январе 2020 года.

    Не понял, где мозилла первее. Ждём вой анонима в январе, когда его любимые сайты поломаются.

     
     
  • 3.39, мурзилла (?), 07:22, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Хрень - планируют. А мы - вот, уже! Кто молодцы? Мы молодцы!

     

  • 1.4, Зонд (ok), 10:56, 29/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –10 +/
    Они это для чего делают? Чтобы стимулировать переход на более новые версии или как? Просто если сайт не предлагает ничего другого, но он мне очень нужен, то как быть?
     
     
  • 2.5, бублички (?), 11:13, 29/09/2019 [^] [^^] [^^^] [ответить]  
  • –5 +/
    статью опять не читал, но яростно негодуешь? поменяй значение security.tls.version.min (2 вместо 3) и не ной, если приспичило ночными сборками пользоваться
     
  • 2.7, пох. (?), 11:24, 29/09/2019 [^] [^^] [^^^] [ответить]  
  • –8 +/
    как обычно - выучить еще стопицотпервое заклиненание для очередного скрытого преференса, впридачу к предыдущим стопитистам, делиться сокровенным знанием на тайных форумах, через пол-года - все равно его проиметь, или мурзила перестанет этим преференсом пользоваться.
    Через год поддержку выпилят из openssl, и все равно ничего уже работать не будет.

    должны остаться только правильные сцайты. с правильной рыгламой. Все остальное надо поломать нахрен.

     
     
  • 3.9, бублички (?), 11:51, 29/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    тут ты прав, это заговор чтоб отвадить тебя писать всякую совершенно нездоровую чушь на OpenNET
     
  • 2.10, Аноним (10), 11:58, 29/09/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Просто если сайт не предлагает ничего другого, но он мне очень нужен, то как быть?

    Напиши админу сайта, что он дятел. А если админа нет, то плохие новости: сайт сдохнет сам, как только закончится срок оплаты домена или хостинга, и мозилла тут не виновата.

     
     
  • 3.13, Аноним (13), 16:00, 29/09/2019 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Ах если бы у КАЖДОГО нужного сайта был админ...
     
     
  • 4.34, НяшМяш (ok), 23:24, 29/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    У любого сайта есть админ. А там, где его пока нет - скоро появится. У тебя есть шанс стать админом нужного тебе сайта )
     
     
  • 5.40, пох. (?), 07:28, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    ну заберите у меня уже ненужносайт, а? bitrix 2014го года, да и тот хохлоаутсорсер ковырял на от..сь, никакого тебе https вообще (и миллион вшитых ссылок и ифреймов http, так что даже при заходе через https модные браузеры всю жизнь будет выть что он "insecure-insecure, ой плёхо, плёхо, плёхо, щас вас всех тут поимеют-поимеют" Вах баюсь-баюс!). Я к той теме уже прохладно отношусь, он не про выгул собак вообще.

    что-то вот не вижу мильена желающих угнать админа. Одни только попытки торговать cp через форум и комменты - причем у этих "детишек" усы отклеиваются прямо на ходу, и под ними явная рожа товарищмайора просвечивает.

     

  • 1.11, Аноним (11), 12:49, 29/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Что может быть плохого в избавлении от старых дырявых протоколов? Или тут про downgrade атаку не слышали, с понижением версии протокола?
     
     
  • 2.15, Аноним (15), 16:37, 29/09/2019 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Плохое в том, что браузер - это средство доступа к информации, которую хочет пользователь, а не воспитания его и админов сайтов.
     
     
  • 3.16, Аноним (15), 16:39, 29/09/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    И кстати, туда же выпиливание FTP из браузеров. Что-то даже Microsoft в свое время настолько настойчиво не пыталась лечить юзеров на предмет что им нужно, а что не нужно.
     
  • 2.23, пох. (?), 21:14, 29/09/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    то что они не дырявые (реализации - да, ну так с чего ты взял что реализация 1.3 будет лучше?). И "избавить" вас от них бегут вовсе не из благих соображений.

    > Или тут про downgrade атаку не слышали

    слышали, тебе никто и раньше не запрещал выпилить вообще все протоколы и сидеть ждать волшебного tls1.5, который не даунгрейдится. (кстати, как и самому гуглю)

    но вообще-то если кто-то сумел вклиниться в твою сессию между тобой и гуглем - у меня для тебя очень плохие новости - тебе не версию tls надо улучшать, а быстро и незаметно покидать помещение, стараясь не попадать в область действия камер.

     
     
  • 3.35, НяшМяш (ok), 23:30, 29/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > то что они не дырявые

    Дверь у сарая моего деда тоже не дырявая, однако пробивается при надобности пальцем. MD5 и SHA-1 не так чтобы очень безопасные шифры.

     
     
  • 4.41, пох. (?), 07:30, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    кто о чем, а опеннетовский дятел - долбит.

    Деточка, перечитай еще три раза то, на что отвечал. Там и про шифры, и про "безопастность".

     
     
  • 5.45, НяшМяш (ok), 13:34, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Судя по никнейму, тебе должно быть пох. Чего тут так напрягаться и всяких дятлов учить?
     

  • 1.14, Аноним (14), 16:08, 29/09/2019 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –1 +/
     
  • 1.18, Kuromi (ok), 17:10, 29/09/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    О, это все прекрасно, но поломает кучу устройств. Скажем компания TP-LINK с некоторых пор, поддалась на "модную" тенденцию и начала в свои консумерские девайсы типа роутеров встраивать TLS в админку. При этом, сюрприз-сюрприз, TLS у них там 1.1 и не отключается. Неясно зачем вообще оно надо и особенно - в таком исполнении.
     
     
  • 2.20, ievoochielaPh5Ph (ok), 19:00, 29/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А http в девайсах отрублен совсем?
    Или хотя бы можно зайти и включить можно?
     
     
  • 3.27, Kuromi (ok), 22:15, 29/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    При логине в админку автоматический редирект на HTTPS.
     
     
  • 4.30, ievoochielaPh5Ph (ok), 23:05, 29/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А если зайти в нее можно ли отключить? Может можно зайти сейчас и отключить, пока не поздно. А так для устройств во внутренней сети действительно в https смысла нет особого. Если наружу вешать интерфейс, то еще как-то могу понять, но просто не нужно вешать наружу, блин.
     
  • 2.28, Аноним (28), 22:29, 29/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    На многие TP-Link'и ставится openwrt
     
     
  • 3.32, ievoochielaPh5Ph (ok), 23:14, 29/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > На многие TP-Link'и ставится openwrt

    К сожалению не на всё у них ставится OpenWRT. Товарищ себя для загородного дома по дешевке взял две APшки EAP225v2. Шикарные игрушки. Но возникли у него вопросы по ряду хитрых настроек нескольких SSID, никак не мог он найти где бы делалось, а альтернативы в виде OpenWRT нет. Понятно, что это железо для кровавого энтерпрайза и никто не ожидал, что их домой будут ставить адекватные люди, но вот так вышло, а OpenWRT нет. Но потом покопались и нашли с трудом все что нужно.

     
     
  • 4.42, пох. (?), 07:33, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    железо для кговагого ентер-прайса умеет не только несколько ssid, а еще и танцевать цыганочку с выходом. А это - длинк.

    передай лоху чтоб шел за убиквити, а это - лохам подбросил.

     
     
  • 5.43, Онаним (?), 08:30, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Лучше рукус тогда. Убиквити - так себе, микротик от вайфай.
     
     
  • 6.44, пох. (?), 09:58, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ну да, именно мокротык - так же виснет под нагрузкой или отваливается от контроллера.

    Ну так не надо ее на башенный кран вешать, а между баней и сараем - норм, даже хэндовер, кажется, работал.
    А при ее цене - можно на вес брать.

     
  • 5.46, ievoochielaPh5Ph (ok), 16:13, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Цыганочку-то оно умеет. Оно еще и за пивом бегает, и минет по утрам делает. А некоторые вещи не совсем умеет, ну типа пиво и минет в кровавом энтерпрайзе нужны, а вот курица и классика не особо
    Не, все настроили таки, пользуется и доволен, но осадочек, что нет альтернативных прошивок остался.
     
     
  • 6.47, пох. (?), 10:27, 01/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ну вот мне когда иду погадить за баню - охренеть как хочется по дороге обновлять альтернативную прошивку, потому что опять что-то отвалилось?

    нормальное (или полоумное, убиквити то бишь) - повесил по дороге на забор, и пока сосед не спер - оно работает, каши не просит. Повисло - подергай за шнур питания.

     
  • 2.48, пох. (?), 18:24, 01/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Неясно зачем вообще оно надо и особенно - в таком исполнении.

    оно надо, внезапно, чтобы при нулевых трудозатратах получить защиту от васяна, банально спершего пароль, гуляющий по гуаносети или вовсе светимый в воздух, без всякой защиты, обычным плейнтекстом. Вполне разумная мера предосторожности для гуанооборудования, предназначенного именно для таких сетей.

    и нет, не надо тут сказочек что в твоем сортире завелся такой мощный васян, что сумеет подсунуть тебе mitm'еный сертификат. Это просто кошка там срет. А вот просто перехватить плейнтекст - умельцев полно.

    Неясно, зачем оно мурзиле надо было все поломать, но от этих идиотов ничего другого уже никто и не ждет. Зато на валидные сертификаты оно уже восемь лет показывает невменяемую белую страницу, полную неведомой хни (без кнопки "продолжить", ясен) - поищи по SEC_ERROR_BAD_DER и ужаснись.

     
     
  • 3.49, Kuromi (ok), 23:22, 07/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    > спершего пароль, гуляющий по гуаносети или вовсе светимый в воздух, без
    > всякой защиты, обычным плейнтекстом. Вполне разумная мера предосторожности для гуанооборудования,
    > предназначенного именно для таких сетей.
    > и нет, не надо тут сказочек что в твоем сортире завелся такой
    > мощный васян, что сумеет подсунуть тебе mitm'еный сертификат. Это просто кошка
    > там срет. А вот просто перехватить плейнтекст - умельцев полно.
    > Неясно, зачем оно мурзиле надо было все поломать, но от этих идиотов
    > ничего другого уже никто и не ждет. Зато на валидные сертификаты
    > оно уже восемь лет показывает невменяемую белую страницу, полную неведомой хни
    > (без кнопки "продолжить", ясен) - поищи по SEC_ERROR_BAD_DER и ужаснись.

    Если задача защитить пароль от Васяна Петросяна, то чем делать "простенький TLS на минималках" было бы достаточно сделать HTTP-DIGEST авторизацию. Да, немодно, по дедовски, зато работает и ресурсов вычислительныхтребует всего ничего.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру