vinzv
freedom and linux stuff

TLS/SSL Sicherheit im Firefox verbessern

Obwohl Firefox TLS 1.2 seit Version 24 unterstützt, ist es nicht aktiv. Nicht mal in der aktuellen stabilen Version 26. Das ist nicht gut.

Es gibt eine Webseite, mit der man die TLS-Fähigkeiten seines Browsers testen kann. Der aktuelle Chromium besteht alle Tests, aber scheinbar mag die Seite Firefox 26 nicht besonders:
ssl_bad

Um zwei Probleme müssen wir uns kümmern. Zuerst fehlt der TLS 1.2 Support. Dieser kann im Firefox 26 in der Konfiguration aktiviert werden. Gib dazu about:config in die Adresszeile ein, bestätige die Warnmeldung und suche dann nach security.tls.version. Änder den Wert von tls.version.max auf 3 für TLS 1.2 und von tls.version.min auf 1 für mindestens TLS 1.0. Wichtig ist dabei, dass du ab sofort keine Seiten ohne TLS-Unterstützung besuchen kannst. Aber das will eh keiner.

tls_config

Das zweite Problem ist der Support für die Chiffre SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA welche vielleicht nicht unbedingt verwendet werden sollte: https://github.com/jmhodges/howsmyssl/pull/17.
Firefox 26 unterstützt Chiffren die als unsicher bekannt sind.
insecure_cyphers

Diese Einstellung kann ebenfalls in der Konfiguration deaktiviert werden. Suche dazu im about:config Fenster nach security.ssl3.rsa_fips_des_ede3_sha und deaktiviere es.

disable_rsa_fips

Das war’s, dein Firefox – zumindest Version 26 – sollte nun den Test bestehen!

ssl_ok

Mehr Infos gibt es unter: https://www.howsmyssl.com/s/about.html.

(Screenshots CC-BY-SA3.0 Danilo Bargen, Originaltext ebenfalls)

Kategorien: Allgemein

Schlaraffenland » « 100.000$ für blinde Menschen und den Zugang zu Computern

8 Kommentare

    • vinzv

      20.01.2014 — 22:19

      Uff, ich bin ja schon froh die beiden Optionen oben so halbwegs verstanden zu haben…

      • – Elliptic-Diffie-Hellman ist in der aktuellen OpenSSL-Implementierung „broken“ (http://safecurves.cr.yp.to/index.html).
        – DES und ALLES, was damit zusammenhängt, ist seit den 90ern tot.
        ( – AES 128 und Camellia sind zu kurz, wird aber für Amazon benötigt)
        – RC4 ist ‚putt.
        – Zusammengefasst: http://i.imgur.com/d2tMEWQ.png , wobei der die 128-bit-Schlüssel vergessen hat. Die brechen dann aber Amazon und CloudFront.

        • vinzv

          21.01.2014 — 13:11

          Danke!
          „bricht Amazon“ klingt ja schon fast nach einem Bonus-Feature ;)

          • schtobia@tslaptop-1:~/ >sslscan images-na.ssl-images-amazon.com | grep Accepted
            Accepted SSLv3 128 bits AES128-SHA
            Accepted SSLv3 128 bits RC4-MD5
            Accepted TLSv1 128 bits AES128-SHA
            Accepted TLSv1 128 bits RC4-MD5

            *das*, meine Freunde, nennt man #fail.

  1. Du suchst doch Websites mit fehlender TlS 1.2 etc. Hier ist noch eine wichtige dokumentiert: https://www.ssllabs.com/ssltest/analyze.html?d=hosteurope.de

  2. Ich habe ewig versucht rauszufinden, warum ich mit FF kein Youtube mehr schauen kann. „Es ist ein Fehler aufgetreten….“ Deaktivieren aller Addons/SafeMode hat auch nichts gebracht. Dann gemerkt, dass es geht, wenn ich HTTPSEverywhere deaktiviere UND auch in der Adresszeile darauf achte, dass da kein httpS:// steht.
    Ich habe es vorher nicht realisiert, aber ich konnte kein YT mehr sehen, seit ich mal nach diesem Artikel hier die Cipher-Suites durchkämmt und deaktivert habe. Hab noch nicht untersucht, welche man für Youtube braucht, aber es muss irgendwie daran liegen. Die Webseiten laden ganz normal, nur die Videos laufen nicht. Bekloppt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

*

Copyright © 2017 vinzv

Theme von Anders Norén↑ ↑