JoWa Posted January 26, 2013 Posted January 26, 2013 (edited) Secure Sockets Layer (SSL) utvecklades av Netscape, och lanserades (version 2.0) i februari 1995. SSL uppdaterades till version 3.0 1996. SSL är ett kryptografiskt protokoll som används för att skapa säkra (krypterade) förbindelser över Internet. Utvecklingen gick vidare, och SSL fick en efterträdare i Transport Layer Security (TLS). Version 1.0 av TLS lanserades i januari 1999, följd av TLS 1.1 (april 2006) och TLS 1.2 (april 2008). Alla dessa versioner kan ännu användas, men SSL 2.0 är en mycket osäker version, och väldigt får servrar stöder SSL 2.0. I ingen av dagens webbläsare är SSL 2.0 aktiverat, och endast Internet Explorer (t.o.m. version 10) har möjlighet att aktivera den osäkra protokollversionen. TLS 1.0 är den mest använda protokollversionen. Alla (?) servrar stöder den, och alla webbläsare har sedan länge stöd för TLS 1.0 aktiverat som standard. Internet Explorer i Windows 7 och 8 stöder även TLS 1.1 och 1.2, men dessa versioner är inte aktiverade som standard. För att aktivera, öppna Internetalternativ, fliken Avancerat, rubriken Säkerhet. Markera ”Använd TLS 1.1” och ”Använd TLS 1.2”. Markera inte ”Använd SSL 2.0”. Opera stöder även TLS 1. 1 och 1.2, men det är inte heller där aktiverat som standard. För att aktivera, gå till Inställningar, Avancerat, Säkerhet, Säkerhetsprotokoll. Eller skriv opera:config i adressfältet, tryck Retur. Skriv ”tls” i sökrutan och markera ”Enable TLS v1.1” och ”Enable TLS v1.2”. Firefox och Chrome använder Network Security Services (NSS), som stöder upp till TLS 1.1. I Chrome är TLS 1.1 aktiverat som standard, medan Firefox ännu (v. 18) endast stöder SSL 3.0 och TLS 1.0. I Opera och Chrome kan man lätt se vilket krypteringsprotokoll som används, se bifogade bilder. Läsning: Wikipedia: Transport Layer Security Wikipedia: Network Security Services Adam Langley (Google): New TLS versions Edited August 9, 2016 by JoWa Quote
Nicklas Posted January 26, 2013 Posted January 26, 2013 Lite okunnigt men nyfiket undrar jag... Varför har IE10 inte TLS 1.1 och 1.2 aktiverat som standard? Varför har Firefox inte TLS 1.1 och 1.2? Quote
JoWa Posted January 26, 2013 Author Posted January 26, 2013 (edited) Det undrar jag också. En anledning kan vara buggiga servrar och buggiga nätverk, som Adam Langley nämner. Jag har dock inte upplevt några problem med Chrome (TLS 1.1). Firefox kan inte stödja TLS 1.2 då NSS ännu inte stöder den versionen (varför?). Däremot skulle Firefox redan nu kunna stödja TLS 1.1, som Chrome stöder från och med version 21. Mozilla är kanske bara långsammare än Google. Men mest överraskande är att IE10 stöder SSL 2.0. För att ta reda på vilka protokollversioner en server stöder (och en hel del annat), kan dessa tjänster används: https://sslanalyzer.comodoca.com/ https://www.ssllabs.com/ssltest/index.html Edited August 9, 2016 by JoWa Quote
si3rra Posted January 27, 2013 Posted January 27, 2013 i Windows 8 (ie10) är SSL 2.0 inte valt och TLS 1.0 valt som standard. Quote
JoWa Posted January 31, 2013 Author Posted January 31, 2013 Varför har Firefox inte TLS 1.1 och 1.2? NSS 3.14 has TLS 1.1 support (see bug 565047 comment 118) which is included in the current Fx 19 Beta (at least) so this bug can get going now. https://bugzilla.mozilla.org/show_bug.cgi?id=733647#c2 Quote
JoWa Posted February 5, 2013 Author Posted February 5, 2013 (edited) Lucky Thirteen: Breaking the TLS and DTLS Record Protocols Hoppas att stöd för TLS 1.2 snart implementeras och aktiveras överallt. Citat Switch to using AEAD ciphersuites, such as AES-GCM. Support for AEAD ciphersuites was specified in TLS 1.2, but this version of TLS is not yet widely supported. We hope that our research will spur support for TLS 1.2 in client and server implementations. Edited August 9, 2016 by JoWa Quote
JoWa Posted March 20, 2013 Author Posted March 20, 2013 (edited) Jan Hedström, TechWorld: TLS - kan det bli säkert? I artikeln nämns DNSSEC. I går meddelade Google att deras DNS nu stöder DNSSEC-validering. Google Public DNS Now Supports DNSSEC Validation Edited August 9, 2016 by JoWa Quote
JoWa Posted May 31, 2013 Author Posted May 31, 2013 (edited) Uppdatering angående TLS 1.1 i Firefox: Citat TLS 1.1 can be enabled manually in about:config with security.tls.version.max = 2. However, the fallback is not implemented properly; there is undefined behavior in NSS due to the simultaneous use of SSL_VersionRangeSetDefault and SSL_OptionSet(SSL_ENABLE_TLS). https://bugzilla.mozilla.org/show_bug.cgi?id=733647#c11 Edited August 9, 2016 by JoWa Quote
JoWa Posted June 18, 2013 Author Posted June 18, 2013 (edited) Stöd för TLS 1.2 i NSS tycks vara nära nu. https://bugzilla.mozilla.org/show_bug.cgi?id=480514 Målet är att det skall vara implementerat i NSS 3.15.1. Aktuell version är 3.15 (2013-05-31): https://developer.mozilla.org/en-US/docs/NSS/NSS_3.15_release_notes Edited August 9, 2016 by JoWa Quote
JoWa Posted June 19, 2013 Author Posted June 19, 2013 (edited) Google har tydligen föregått den officiella lanseringen av NSS 3.15.1, och implementerade TLS 1.2 i Chrome 29 i och med revision 203090. Edited August 9, 2016 by JoWa Quote
JoWa Posted June 29, 2013 Author Posted June 29, 2013 (edited) NSS 3.15.1 release notes: https://developer.mozilla.org/en-US/docs/NSS/NSS_3.15.1_release_notes Dokumentet tycks inte vara färdigskrivet, beskrivningarna saknas ännu. I denna change log kan man dock se att TLS 1.2 är implementerat i NSS från och med 3.15.1 beta 2. Edited August 9, 2016 by JoWa Quote
JoWa Posted June 29, 2013 Author Posted June 29, 2013 (edited) Citat TLS 1.2 support has been added with NSS 3.15.1 for Gecko 24.0. http://kb.mozillazine.org/Security.tls.version.* Att stöd för TLS 1.2 finns i Firefox 24 Aurora kunde jag konstatera genom att sätta värdet för security.tls.version.min och security.tls.version.max till 3, så att endast TLS 1.2 tillåts. Därefter gick det utmärkt att ansluta till https://encrypted.google.com/ (TLS 1.2), men inte alls till https://sv.wikipedia.org/wiki (TLS 1.0). Edited August 9, 2016 by JoWa Quote
JoWa Posted July 2, 2013 Author Posted July 2, 2013 (edited) NSS 3.15.1 release notes New Functionality TLS 1.2: TLS 1.2 (RFC 5246) is supported. HMAC-SHA256 cipher suites (RFC 5246 and RFC 5289) are supported, allowing TLS to be used without MD5 and SHA-1. Note the following limitations. The hash function used in the signature for TLS 1.2 client authentication must be the hash function of the TLS 1.2 PRF, which is always SHA-256 in NSS 3.15.1. AES GCM cipher suites are not yet supported. Edited August 9, 2016 by JoWa Quote
JoWa Posted July 7, 2013 Author Posted July 7, 2013 (edited) Opera 15, som är baserad på Chromium 28.0.1500.52, stöder som mest TLS 1.1, som är aktiverat som standard. Edited August 9, 2016 by JoWa Quote
JoWa Posted July 8, 2013 Author Posted July 8, 2013 Qualys, Inc. uppdaterade i april sitt dokument SSL/TLS Deployment Best Practices. Till skillnaderna hör att TLS 1.2 nu är det rekommenderade kryptografiska protokollet; tidigare var det TLS 1.0 som rekommenderades. Dokumentet uppdaterades igen i maj. Samtliga dokumentversioner är tillgängliga som pdf-dokument: 1.0: https://www.ssllabs.com/downloads/SSL_TLS_Deployment_Best_Practices_1.0.pdf 1.1: https://www.ssllabs.com/downloads/SSL_TLS_Deployment_Best_Practices_1.1.pdf 1.2: https://www.ssllabs.com/downloads/SSL_TLS_Deployment_Best_Practices_1.2.pdf Quote
JoWa Posted July 22, 2013 Author Posted July 22, 2013 (edited) Standardinställning i IE6 i Windows XP SP3 med alla uppdateringar (utom IE8…): Jag tycker allt att Microsoft för flera år sedan via en uppdatering skulle ha inaktiverat det osäkra SSL 2.0-protokollet. Att aktivera TLS 1.0 hade inte heller skadat. Inte för att någon bör använda IE6, men dessa onödigt osäkra inställningar skulle lämpligen ha rättats till för länge sedan. Edited August 9, 2016 by JoWa Quote
JoWa Posted August 10, 2013 Author Posted August 10, 2013 (edited) I Firefox 25 Aurora är standardinställningen för security.tls.version.min och security.tls.version.max alltjämt 0 respektive 1, vilket innebär att stöd för SSL 3.0 och TLS 1.0 är aktiverat. Dock finns stöd för TLS 1.1 och 1.2 i Firefox 24+, så det kan aktiveras i about:config. Att ändra security.tls.version.max till 3 (= TLS 1.2) är helt problemfritt. Att öka värdet för security.tls.version.min för mycket kan däremot leda till problem med vissa sidor. Inställd på 1 stöds TLS 1.0 men inte SSL 3.0. Ytterst få servrar stöder endast SSL, men det finns några, t.ex. https://archive.org/ som endast stöder SSL 3.0 (se https://www.ssllabs.com/ssltest/analyze.html?d=archive.org). Edited August 9, 2016 by JoWa Quote
JoWa Posted August 27, 2013 Author Posted August 27, 2013 (edited) Jag har tidigare visat att Chrome 29 stöder TLS 1.2, och förra veckan släpptes den till stabila kanalen. I dag var det dags för Opera att uppdateras, till version 16, baserad på Chromium 29, och därmed få stöd för TLS 1.2. Att nu Chrome, och andra Chromium-baserade webbläsare, stöder TLS 1.2 torde sätta fart på serveradministratörer, så att de ser till att servrarna stöder TLS 1.2. Enligt SSL Pulse stöder 17 % av de ca 200 000 mest besökta webbsidorna, som är tillgängliga via HTTPS, TLS 1.2 i augusti 2013. I augusti 2012 var det endast 4,5 %. Något överraskande är det fler som stöder TLS 1.2 än 1.1. Edited August 9, 2016 by JoWa Quote
JoWa Posted September 17, 2013 Author Posted September 17, 2013 (edited) Nu när Firefox 24 släppts i stabil version, har alla stora webbläsare stöd för TLS 1.1 och 1.2. I Firefox 24 är dock TLS 1.1 och 1.2 inaktiverade, men kan aktiveras av användaren, som jag beskrev i inlägg #17. Edited August 9, 2016 by JoWa Quote
e-son Posted September 17, 2013 Posted September 17, 2013 I Firefox 24 är dock TLS 1.1 och 1.2 inaktiverade, men kan aktiveras av användaren, som jag beskrev i inlägg #17. Detsamma gäller Thunderbird! Quote
JoWa Posted September 18, 2013 Author Posted September 18, 2013 (edited) I IE11 RP för Windows 7 är TLS 1.1 och 1.2 äntligen aktiverade som standard! Det har hänt en del sedan första inlägget skrevs. Nu återstår endast att TLS 1.1 och 1.2 skall aktiveras som standard i Firefox. Edited August 9, 2016 by JoWa Quote
Nicklas Posted September 19, 2013 Posted September 19, 2013 (edited) Det har hänt en del sedan första inlägget skrevs. Nu återstår endast att TLS 1.1 och 1.2 skall aktiveras som standard i Firefox. Ja det är faktiskt så man skäms lite. Men jag har iaf aktiverat det enligt din fina guide! Edited September 19, 2013 by Nicklas Quote
JoWa Posted September 19, 2013 Author Posted September 19, 2013 (edited) De har väl ännu inte löst ”komplikationerna” som TLS 1.2 orsakar. Ett förslag var att vänta med TLS 1.2 för att utan vidare tövan kunna aktivera 1.1, men det förslaget godtogs tydligen inte. https://bugzilla.mozilla.org/show_bug.cgi?id=733647#c25 I Firefox 25 beta 1 är inställningarna desamma som i 24. Edited August 9, 2016 by JoWa Quote
jarru Posted September 20, 2013 Posted September 20, 2013 Tycker att det är lite rörigt ämne, har ställt in security.tls.version.min/max på 0 resp. 3, men varför har mozilla tagitbort de tidigare inställningarna i "preferences" är frågan,, det är lättare att att kryssa i och ur än att ändra i "About:config".Har dessutom provat med pluggen "Https everywhere" som ställer till med problem och slöar ned surfandet,det är lättare med en plugg för TLS/SSL typ QuickJava där man enkelt kryssar i och ur vad man kan använda sig av.Tack för god info. Quote
jarru Posted October 1, 2013 Posted October 1, 2013 (edited) Varken FF eller IE10 tycks kunna omförhandla en https ansluning till en http om det skulle behövas. Om http fungerar utan problemvarför då försöka att forcera fram en https anlutning som inte fungerar ? Edit :Hittade nog en förklaring på frågan här om jag har fattat det rätt ? :http://www.alltomwindows.se/forum/topic/26696-http-strict-transport-security-aer-standardiserat/Webbläsaren tappar funktionalitet. Snacka om rörigt. Edited October 1, 2013 by jarru Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.