image

Firefox schakelt zwakke TLS-versies in voor coronawebsites

zaterdag 21 maart 2020, 09:12 door Redactie, 10 reacties

Mozilla heeft besloten om zwakke TLS-versies die eerder in Firefox werden uitgeschakeld weer in te schakelen om zo websites met informatie over het coronavirus toegankelijk te maken. Twee weken geleden verscheen Firefox 74 waarin ondersteuning van TLS 1.0 en 1.1 werd uitgeschakeld.

Het TLS-protocol wordt gebruikt voor het opzetten van een beveiligde verbinding tussen websites en bezoekers. Deze twee versies van het TLS-protocol zijn echter kwetsbaar voor verschillende aanvallen zoals BEAST, CRIME en POODLE. Om gebruikers tegen mogelijke aanvallen te beschermen werden de TLS-versies in Firefox 74 uitgeschakeld. Bij websites die van deze oudere TLS-versies gebruikmaken laat de browser een foutmelding zien. Via een knop in de waarschuwing is het mogelijk om de blokkade op te heffen en kan er via TLS 1.0 of 1.1 verbinding met de website worden gemaakt.

Volgens cijfers van internetbedrijf Netcraft zij er nog 850.000 websites die van TLS 1.0 en 1.1 gebruikmaken en dus een waarschuwing aan Firefoxgebruikers laten zien. Het gaat onder andere om overheidssites met informatie over het coronavirus. Daarnaast zou de maatregel ook impact op online vergaderdiensten hebben, zo blijkt uit een melding op bugzilla. Mozilla heeft daarop besloten om TLS 1.0 en 1.1 voor onbepaalde tijd weer in de browser in te schakelen zodat websites zonder waarschuwing zijn te bezoeken.

Image

Image

Reacties (10)
21-03-2020, 10:12 door Joep Lunaar
Informatiebeveiliging moet soms ook pragmatisch zijn. Verstandige afweging schijnt Mozilla toevertrouwd.
21-03-2020, 11:29 door Briolet
Tja, de corona angst wordt nu juist ook aangegrepen om mensen via cybercrime te beschadigen. Ik zou zeggen juist nu is de beveiliging nog belangrijker.

Ik haal niet uit het artikel dat alleen bepaalde corona info-sites ge-whitelist worden, maar dat alle sites weer oude protocollen kunnen gebruiken. Dus ook sites die bewust deze protocollen gebruiken om bezoekers aan te vallen.

Maar goed, het zal een doordachte afweging zijn tussen de positieve en negatieve effecten van het weer minder veilig maken.
21-03-2020, 13:09 door Anoniem
Zet via about:config de waarde voor security.tls.version.min = 3 en je kan deze paniekreactie omzeilen en alleen TLS 1.2 accepteren.
21-03-2020, 18:31 door Anoniem
Door Anoniem: Zet via about:config de waarde voor security.tls.version.min = 3 en je kan deze paniekreactie omzeilen en alleen TLS 1.2 accepteren.
Let op dat het hier ook voornamelijk ging over videoconferencing software zoals Jitsi. Die maken gebruik van DTLS en dat moet je aanpassen via media.peerconnection.dtls.version.min van 770 naar 771 om DTLS<1.2 uit te schakelen.
21-03-2020, 18:58 door Anoniem
Door Briolet: Tja, de corona angst wordt nu juist ook aangegrepen om mensen via cybercrime te beschadigen. Ik zou zeggen juist nu is de beveiliging nog belangrijker.

Ik haal niet uit het artikel dat alleen bepaalde corona info-sites ge-whitelist worden, maar dat alle sites weer oude protocollen kunnen gebruiken. Dus ook sites die bewust deze protocollen gebruiken om bezoekers aan te vallen.

Maar goed, het zal een doordachte afweging zijn tussen de positieve en negatieve effecten van het weer minder veilig maken.

Dat soort crypto bugs zijn praktisch allemaal een totaal verwaarloosbaar risico in vrijwel alle omstandigheden.

Als je kijkt naar welke omstandigheden nodig zijn, waar een aanvaller moet zitten, en wat de aanvaller dan kan bereiken is het belachelijk hoeveel aandacht en hype die SSL bugs met hippe namen krijgen.
21-03-2020, 19:04 door Anoniem
Ben ik nu gek of zijn ze bij firefox geschift?
Juist NU moet je beveiligd worden tegen poodle en verwanten.
Het opzoeken van informatie om corona besmetting te voorkomen en dan met een crypto virus besmet worden?
Met corona heb je 80% kans op dat je 3 dagen kwijt bent, met een crypto locker 80% kans dat je alles digitaal kwijt bent..

Dus dat ik niet meer bij mijn nas kan of mijn pdu of ups kan bereiken geeft firefox geen bal om maar wanneer huismoeder x nog niet bang genoeg is geworden van het nos die elke dag roept dat er honderden doden zijn gevallen (alleen niet in nederland) dan moet zij wel naar websites kunnen die niet eens tls1.2 kunnen implementeren om te horen dat je van knoflook en gember imuun wordt en van 3 x springen niet zwanger?

Ik gooi per direct die onzin van mijn pc af want met zulke logica kan de software alleen maar gevaarlijker zijn dan msie 2.0
21-03-2020, 20:40 door Anoniem
Door Anoniem: Ben ik nu gek of zijn ze bij firefox geschift?
Juist NU moet je beveiligd worden tegen poodle en verwanten.
Er zijn op dit moment geen bekende kwetsbaarheden aanwezig in TLS 1.0/1.1 . De reden dat deze protocollen uitgeschakeld worden is omdat versie 1.2 al meer dan 10 jaar geleden ontwikkeld is en net wat robuuster is dan de voorgaande versies. Idem voor 1.3, nu enkele jaren oud. Daar komt bij dat de code voor oudere versies wel onderhouden moet worden, wat tijd en moeite kost.

Er zijn dus geen bekende kwetsbaarheden en het is ook niet gevaarlijk om deze protocollen nog ingeschakeld te houden. Daarbij zijn POODLE en andere kwetsbaarheden al lang geleden opgelost en heeft ransomware (crypto virussen) niet veel te maken met cryptografische kwetsbaarheden.
22-03-2020, 11:15 door [Account Verwijderd]
Door Anoniem: Zet via about:config de waarde voor security.tls.version.min = 3 en je kan deze paniekreactie omzeilen en alleen TLS 1.2 accepteren.

Voor het algemeen belang: Dank voor de tip!

Persoonlijk:
Dit had ik in het verleden al gedaan, ik dacht zo'n anderhalf jaar terug (Value 1 naar 3 gezet) Ik dacht ik check het eens en ja hoor... Value stond doodleuk op 1. Conclusie: eigenzinnig omzeilt Mozilla/Firefox dus user prefs.

Dat betekent in de basis dus dat je na elke update of ugrade naar een hogere versie de hele meuk die je hebt herzien in about:config moet gaan controleren of veilheidsmaatregelen die je hebt genomen worden 'gedowngrade' door Firefox zelf.

Mijn buurman zou zeggen: "Dat is bij de beesten af." Ik sluit mij daarbij aan.
22-03-2020, 13:04 door Tintin and Milou
Door Anoniem: Ben ik nu gek of zijn ze bij firefox geschift?
Juist NU moet je beveiligd worden tegen poodle en verwanten.
Het opzoeken van informatie om corona besmetting te voorkomen en dan met een crypto virus besmet worden?
Met corona heb je 80% kans op dat je 3 dagen kwijt bent, met een crypto locker 80% kans dat je alles digitaal kwijt bent..

Dus dat ik niet meer bij mijn nas kan of mijn pdu of ups kan bereiken geeft firefox geen bal om maar wanneer huismoeder x nog niet bang genoeg is geworden van het nos die elke dag roept dat er honderden doden zijn gevallen (alleen niet in nederland) dan moet zij wel naar websites kunnen die niet eens tls1.2 kunnen implementeren om te horen dat je van knoflook en gember imuun wordt en van 3 x springen niet zwanger?

Ik gooi per direct die onzin van mijn pc af want met zulke logica kan de software alleen maar gevaarlijker zijn dan msie 2.0
Ik ben "BEAST, CRIME en POODLE" nog niet in levende lijf tegen gekomen. Er stond hier gisteren wel een ambulance met wittepakken voor de deur bij de overburen.
Volgens mij is in Brabant ook nog geen ziekenhuis besmet met BEAST, CRIME of POODLE? En ik lees er eigenlijk ook zeer weinig over, dat dit actief gebruikt wordt door virussen.

Als we even wereldwijd kijken, in landen waar IT nog niet zo ver ontwikkeld is, is Internet een belangrijke informatie bron. Heel mooi als dat natuurlijk met TLS 1.2 beveiligd is, maar feit is ook dat daar heel veel websites en computers dit niet ondersteunen.

Blijkbaar ben je een beetje wereld vreemd, als je zelf deze conclusie niet kunt trekken, waarom Firefox dit momenteel doet. Maar wij Nederlanders weten het natuurlijk altijd allemaal beter.

Common sense is hier weer ver te zoeken.
We vinden het normaal om nu gewoon allemaal naar buiten te gaan, stranden te bezoeken, in een lockdown land gaan tanken of kippenvoer te halen, maar als Firefox tijdelijk een beveiliging die 2 weken geleden pas actief is geworden, is de wereld te klein.
22-03-2020, 13:58 door Anoniem
Door Anoniem: Ben ik nu gek of zijn ze bij firefox geschift?
Dat zijn ze inderdaad. Maar niet Mozilla, maar de eigenren van die websites die geen tls 1.2 ondersteunen.
Die websites gebruiken verouderde software voor hub website en met foutieve configuraties. Dat kunnen ze gewoon fixen, maar wegens 'Wij nemen Uw security heel serieus (maar niet heus)' hebben ze daar geen prioriteit aan gegeven (lang voor de corona-crisis uitbrak).
Het enige dat Mozilla nu doet is stoppen met irritante waarschuwingen, die de druk opvoeren dat die website eigenaren ook eindelijk eens tls 1.2 gaan ondersteunen (c.q. aanzetten).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.