Recommended Posts

Secure Sockets Layer (SSL) utvecklades av Netscape, och lanserades (version 2.0) i februari 1995. SSL uppdaterades till version 3.0 1996. SSL är ett kryptografiskt protokoll som används för att skapa säkra (krypterade) förbindelser över Internet.

Utvecklingen gick vidare, och SSL fick en efterträdare i Transport Layer Security (TLS). Version 1.0 av TLS lanserades i januari 1999, följd av TLS 1.1 (april 2006) och TLS 1.2 (april 2008).

Alla dessa versioner kan ännu användas, men SSL 2.0 är en mycket osäker version, och väldigt får servrar stöder SSL 2.0. I ingen av dagens webbläsare är SSL 2.0 aktiverat, och endast Internet Explorer (t.o.m. version 10) har möjlighet att aktivera den osäkra protokollversionen.

TLS 1.0 är den mest använda protokollversionen. Alla (?) servrar stöder den, och alla webbläsare har sedan länge stöd för TLS 1.0 aktiverat som standard.

Internet Explorer i Windows 7 och 8 stöder även TLS 1.1 och 1.2, men dessa versioner är inte aktiverade som standard. För att aktivera, öppna Internetalternativ, fliken Avancerat, rubriken Säkerhet. Markera ”Använd TLS 1.1” och ”Använd TLS 1.2”. Markera inte ”Använd SSL 2.0”.

IE10-Internetalternativ.png

Opera stöder även TLS 1. 1 och 1.2, men det är inte heller där aktiverat som standard. För att aktivera, gå till Inställningar, Avancerat, Säkerhet, Säkerhetsprotokoll.

Opera12Säkerhetsprotokoll.png

Eller skriv opera:config i adressfältet, tryck Retur. Skriv ”tls” i sökrutan och markera ”Enable TLS v1.1” och ”Enable TLS v1.2”.

Opera-Redigera-inställningar.png

Firefox och Chrome använder Network Security Services (NSS), som stöder upp till TLS 1.1. I Chrome är TLS 1.1 aktiverat som standard, medan Firefox ännu (v. 18) endast stöder SSL 3.0 och TLS 1.0.

I Opera och Chrome kan man lätt se vilket krypteringsprotokoll som används, se bifogade bilder.

Chrome-Anslutning.pngOpera-Säkerhetsinformation.png

Läsning:

Wikipedia: Transport Layer Security

Wikipedia: Network Security Services

Adam Langley (Google): New TLS versions

Redigerad av JoWa

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Det undrar jag också. :)

En anledning kan vara buggiga servrar och buggiga nätverk, som Adam Langley nämner. Jag har dock inte upplevt några problem med Chrome (TLS 1.1).

Firefox kan inte stödja TLS 1.2 då NSS ännu inte stöder den versionen (varför?). Däremot skulle Firefox redan nu kunna stödja TLS 1.1, som Chrome stöder från och med version 21. Mozilla är kanske bara långsammare än Google. ;)

Men mest överraskande är att IE10 stöder SSL 2.0.

För att ta reda på vilka protokollversioner en server stöder (och en hel del annat), kan dessa tjänster används:

https://sslanalyzer.comodoca.com/

https://www.ssllabs.com/ssltest/index.html

Redigerad av JoWa

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Lucky Thirteen: Breaking the TLS and DTLS Record Protocols

Hoppas att stöd för TLS 1.2 snart implementeras och aktiveras överallt.

Citat

Switch to using AEAD ciphersuites, such as AES-GCM. Support for AEAD ciphersuites was specified in TLS 1.2, but this version of TLS is not yet widely supported. We hope that our research will spur support for TLS 1.2 in client and server implementations.

Redigerad av JoWa

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Uppdatering angående TLS 1.1 i Firefox:

Citat

TLS 1.1 can be enabled manually in about:config with security.tls.version.max = 2.

However, the fallback is not implemented properly; there is undefined behavior in NSS due to the simultaneous use of SSL_VersionRangeSetDefault and SSL_OptionSet(SSL_ENABLE_TLS).

https://bugzilla.mozilla.org/show_bug.cgi?id=733647#c11

Redigerad av JoWa

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Google har tydligen föregått den officiella lanseringen av NSS 3.15.1, och implementerade TLS 1.2 i Chrome 29 i och med revision 203090.

TLS 1.2 i Chrome 29.png

Redigerad av JoWa

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
Citat

TLS 1.2 support has been added with NSS 3.15.1 for Gecko 24.0.

http://kb.mozillazine.org/Security.tls.version.*

Att stöd för TLS 1.2 finns i Firefox 24 Aurora kunde jag konstatera genom att sätta värdet för security.tls.version.min och security.tls.version.max till 3, så att endast TLS 1.2 tillåts. Därefter gick det utmärkt att ansluta till https://encrypted.google.com/ (TLS 1.2), men inte alls till https://sv.wikipedia.org/wiki (TLS 1.0).

Redigerad av JoWa

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

NSS 3.15.1 release notes

New Functionality

  • TLS 1.2: TLS 1.2 (RFC 5246) is supported. HMAC-SHA256 cipher suites (RFC 5246 and RFC 5289) are supported, allowing TLS to be used without MD5 and SHA-1. Note the following limitations.
    • The hash function used in the signature for TLS 1.2 client authentication must be the hash function of the TLS 1.2 PRF, which is always SHA-256 in NSS 3.15.1.
    • AES GCM cipher suites are not yet supported.
Redigerad av JoWa

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Opera 15, som är baserad på Chromium 28.0.1500.52, stöder som mest TLS 1.1, som är aktiverat som standard.

Opera15TLS1.1.png

Redigerad av JoWa

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Qualys, Inc. uppdaterade i april sitt dokument SSL/TLS Deployment Best Practices. Till skillnaderna hör att TLS 1.2 nu är det rekommenderade kryptografiska protokollet; tidigare var det TLS 1.0 som rekommenderades. Dokumentet uppdaterades igen i maj. Samtliga dokumentversioner är tillgängliga som pdf-dokument:

1.0: https://www.ssllabs.com/downloads/SSL_TLS_Deployment_Best_Practices_1.0.pdf

1.1: https://www.ssllabs.com/downloads/SSL_TLS_Deployment_Best_Practices_1.1.pdf

1.2: https://www.ssllabs.com/downloads/SSL_TLS_Deployment_Best_Practices_1.2.pdf

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Standardinställning i IE6 i Windows XP SP3 med alla uppdateringar (utom IE8…):

IE6XPSP3SSLTLS.png

Jag tycker allt att Microsoft för flera år sedan via en uppdatering skulle ha inaktiverat det osäkra SSL 2.0-protokollet. Att aktivera TLS 1.0 hade inte heller skadat. Inte för att någon bör använda IE6, men dessa onödigt osäkra inställningar skulle lämpligen ha rättats till för länge sedan.

Redigerad av JoWa

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

I Firefox 25 Aurora är standardinställningen för security.tls.version.min och security.tls.version.max alltjämt 0 respektive 1, vilket innebär att stöd för SSL 3.0 och TLS 1.0 är aktiverat.

Firefox25aTLSstandard.png

Dock finns stöd för TLS 1.1 och 1.2 i Firefox 24+, så det kan aktiveras i about:config.

Firefox25aTLSanpassad.png

Att ändra security.tls.version.max till 3 (= TLS 1.2) är helt problemfritt. Att öka värdet för security.tls.version.min för mycket kan däremot leda till problem med vissa sidor. Inställd på 1 stöds TLS 1.0 men inte SSL 3.0. Ytterst få servrar stöder endast SSL, men det finns några, t.ex. https://archive.org/ som endast stöder SSL 3.0 (se https://www.ssllabs.com/ssltest/analyze.html?d=archive.org).

Redigerad av JoWa

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Jag har tidigare visat att Chrome 29 stöder TLS 1.2, och förra veckan släpptes den till stabila kanalen.

I dag var det dags för Opera att uppdateras, till version 16, baserad på Chromium 29, och därmed få stöd för TLS 1.2.

Opera16TLS1.2.png

Att nu Chrome, och andra Chromium-baserade webbläsare, stöder TLS 1.2 torde sätta fart på serveradministratörer, så att de ser till att servrarna stöder TLS 1.2. Enligt SSL Pulse stöder 17 % av de ca 200 000 mest besökta webbsidorna, som är tillgängliga via HTTPS, TLS 1.2 i augusti 2013. I augusti 2012 var det endast 4,5 %. Något överraskande är det fler som stöder TLS 1.2 än 1.1.

Redigerad av JoWa

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Nu när Firefox 24 släppts i stabil version, har alla stora webbläsare stöd för TLS 1.1 och 1.2. :)

I Firefox 24 är dock TLS 1.1 och 1.2 inaktiverade, men kan aktiveras av användaren, som jag beskrev i inlägg #17.

Redigerad av JoWa

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

I Firefox 24 är dock TLS 1.1 och 1.2 inaktiverade, men kan aktiveras av användaren, som jag beskrev i inlägg #17.

 

Detsamma gäller Thunderbird!   B)

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

I IE11 RP för Windows 7 är TLS 1.1 och 1.2 äntligen aktiverade som standard!

IE11RPInternetalternativ.png

Det har hänt en del sedan första inlägget skrevs. :) Nu återstår endast att TLS 1.1 och 1.2 skall aktiveras som standard i Firefox.

Redigerad av JoWa

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Det har hänt en del sedan första inlägget skrevs. :) Nu återstår endast att TLS 1.1 och 1.2 skall aktiveras som standard i Firefox.

Ja det är faktiskt så man skäms lite. :) Men jag har iaf aktiverat det enligt din fina guide!

Redigerad av Nicklas

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

De har väl ännu inte löst ”komplikationerna” som TLS 1.2 orsakar. Ett förslag var att vänta med TLS 1.2 för att utan vidare tövan kunna aktivera 1.1, men det förslaget godtogs tydligen inte. https://bugzilla.mozilla.org/show_bug.cgi?id=733647#c25

I Firefox 25 beta 1 är inställningarna desamma som i 24.

Redigerad av JoWa

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Tycker att det är lite rörigt ämne, har ställt in security.tls.version.min/max på 0 resp. 3, men varför har mozilla tagit
bort de tidigare inställningarna i "preferences" är frågan,, det är lättare att att kryssa i och ur än att ändra i "About:config".

Har dessutom provat med pluggen "Https everywhere" som ställer till med problem och slöar ned surfandet,
det är lättare med en plugg för TLS/SSL typ QuickJava där man enkelt kryssar i och ur vad man kan använda sig av.

Tack för god info.

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Varken FF eller IE10 tycks kunna omförhandla en https ansluning till en http om det skulle behövas. Om http fungerar utan problem
varför då försöka att forcera fram en https anlutning som inte fungerar ?

 

Edit :

Hittade nog en förklaring på frågan här om jag har fattat det rätt ? :
http://www.alltomwindows.se/forum/topic/26696-http-strict-transport-security-aer-standardiserat/

Webbläsaren tappar funktionalitet. Snacka om rörigt. :blink:

Redigerad av jarru

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Registrera ett nytt konto i våran gemenskap. Det är lätt!

Registrera ett nytt konto

Logga in

Redan medlem? Logga in här.

Logga in nu


  • Liknande innehåll

    • Av JoWa
      Firefox 10.0 är tillgänglig: https://www.mozilla....irefox/all.html

      NEW
      The forward button is now hidden until you navigate back Most add-ons are now compatible with new versions of Firefox by default Anti-Aliasing for WebGL is now implemented (see bug 615976) CSS3 3D-Transforms are now supported (see bug 505115) HTML5
      New <bdi> element for bi-directional text isolation, along with supporting CSS properties (see bugs 613149 and 662288) Full Screen APIs allow you to build a web application that runs full screen (see the feature page) DEVELOPER
      We’ve added IndexedDB APIs to more closely match the specification Inspect tool with content highlighting, includes new CSS Style Inspector FIXED
      Mac OS X only – after installing the latest Java release from Apple, Firefox may crash when closing a tab with a Java applet installed (700835) Some users may experience a crash when moving bookmarks (681795) https://www.mozilla....0/releasenotes/
    • Av JoWa
      I dag släpptes Vivaldi 1.0, den första stabila versionen av en ny webbläsare. Vivaldi utvecklas till stor del av tidigare Opera-utvecklare, som ett alternativ till ”nya” Opera, som många användare sedan Presto-tiden (Opera före Chromium) inte är nöjda med.
      Vivaldi 1.0: Not for everybody, just you
      Vivaldi för Windows finns som 32-bit och 64-bit, den senare ”experimentell”: https://vivaldi.com/download/
      Bakgrund: https://vivaldi.com/story/
      Version 1.0.435.38 är baserad på Chromium 49.0.2623.110 (samma version som Chrome stabil, f.n.).
    • Av JoWa
      Förra veckan presenterade Wikimedia Foundation sina planer för förbättrad säkerhet vid anslutning till något av Wikimedia-projekten (Wikipedia, Wiktionary m.fl.):
      The future of HTTPS on Wikimedia projects
      Wikimedia-projekten har varit tillgängliga via HTTPS sedan 2011: Native HTTPS support enabled for all Wikimedia Foundation wikis
      Nu höjer de säkerhetsnivån genom att steg för steg se till att HTTPS används som standard. Att det görs stegvis beror på att deras nuvarande arkitektur inte kan hantera HTTPS som standard för alla. De börjar därför med inloggningen och inloggade användare.
      Tills HTTPS är aktiverat som standard på alla Wikimedia-sidor, rekommenderar Wikimedia att man använder HTTPS Everywhere (Chrome, Firefox; fungerar även med Opera 15+).
      En förbättring som inte nämns i bloggen är det förbättrade stödet för kryptografiska protokoll. Nu stöds den senaste och säkraste protokollversionen, TLS 1.2, mot tidigare TLS 1.0 som bästa protokoll ([Wikitech-l] no TLS 1.1 and 1.2 support).
      Dagen innan Wikimedia publicerade sina planer, presenterade Facebook sina ambitiösa planer för bättre säkerhet: Secure browsing by default 
      Detta efter att ha erbjudit HTTPS som alternativ sedan början av 2011: A Continued Commitment to Security
      Vidare kan nämnas att Myspace nu använder HTTPS som standard: https://myspace.com/
      Att Yahoo! Mail i början av 2013 gjorde HTTPS användbart för hela sessionen (inte bara inloggning och kontohantering) har tidigare rapporterats: Yahoo! Mail och SSL/TLS
      En del av Googles sedan länge pågående arbete med att förbättra säkerheten har också rapporterats: Krypterad Google-sökning
      Sammanfattningsvis kan sägas att 2013 ser ut att bli ett bra år för kryptering på Internet. Men samtidigt dyker Breach upp.
    • Av Hampus
      Hej!
      Kan jag inaktivera Microsoft Edge, den startar upp om jag ex.vis klickar på länkar i ett mail, men för min del så föredrar jag Chrome
      före både Edge och IE.  Finns ju ett val där jag markerat och valt Chrome men det verkar inte fungera.
      Mvh
      Hampus
       

       
      EDIT: "Grävde" lite på näten och hittade en lösning. 
      https://www.youtube.com/watch?v=vfCBRKoce3o