Включаем актуальные версии TLS под Windows. Часть 2
Как мы уже договорились в первой части, все наши рассуждения строятся на том, что используется ОС Windows XP или более поздняя (Vista, 7 или 8), на которые установлены все надлежащие обновления и «заплатки». Теперь еще одно условие: мы говорим про последние на сегодняшний день версии браузеров, а не «сферического Огнелиса в вакууме».
Итак, настраиваем браузеры на использование актуальных версий протокола TLS и не использование его устаревших версий и SSL вообще. Во всяком случае, насколько это возможно в теории.
А теория нам говорит, что хотя Internet Explorer уже с версии 8 поддерживает TLS 1.1 и 1.2, под Windows XP и Vista мы его к этому никак не принудим. Кликаем: Сервис/Свойства обозревателя/Дополнительно и в разделе «Безопасность» находим: SSL 2.0, SSL 3.0, TLS 1.0... нашли еще что-то? Поздравляю, у вас будет TLS 1.1/1.2! Не нашли - у вас Windows XP или Vista, и в Редмонде вас считают отсталым.
Так вот, галочки со всех SSL - снимаем, на все имеющиеся TLS - ставим. Если доступен только TLS 1.0 - значит, так тому и быть, если более актуальные версии - лучше выбрать только их, а с TLS 1.0 снять галочку (и не удивляться потом, что часть сайтов не открываются по HTTPS). После чего жмем кнопки «Применить», «ОК».
С Opera проще - она устраивает нам настоящий банкет из разных версий протоколов: Инструменты/Общие настройки/Расширенные/Безопасность/Протоколы безопасности. Что мы видим? Весь набор, из которого оставляем галочки лишь на TLS 1.1 и TLS 1.2, после чего жмем кнопку «Подробнее» и там убираем галочки со всех строк, кроме тех, что начинаются с «256 bit AES» - они в самом конце. В начале списка есть строка «256 bit AES (Anonymous DH/SHA-256), с нее тоже снимаем галку. Жмем «ОК» и радуемся защищенности.
Впрочем, у Opera есть одно странное свойство: если включен TLS 1.0, то при необходимости установить защищенное соединение она сходу использует именно эту версию протокола, вне зависимости от поддержки сайтом более актуальных. Типа, зачем напрягаться - и так все прекрасно, все защищено. При включении только TLS 1.1 и 1.2, сначала будет попытка использования более совершенной версии, и только если она не поддерживается сайтом, браузер переключится на версию 1.1.
А вот сферический Огнелис Firefox нас совсем не порадует: Инструменты/Настройки/Дополнительно/Шифрование: все, что мы можем - это отключить SSL, TLS доступен только в версии 1.0, делать нечего - его и оставляем с галочкой.
Впрочем, плохое познается в сравнении: Chrome и Safari вообще не содержат настроек, какой протокол шифрования использовать. Насколько известно, Safari не поддерживает TLS более актуальных версий, чем 1.0 в версиях под ОС Windows, а поскольку выпуск новых его версий под эту ОС прекращен, то и не будет.
Chrome, насколько известно, поддерживает TLS 1.1, но, как и в случае с Safari, отказаться от использования SSL мы не можем. Отключить в Chrome TLS 1.0 - тоже никак. А вот с реальным использованием TLS 1.1 - большой вопрос: его сначала включили, потом выключили из-за проблем в работе и, насколько можно судить, обратно пока не включили. То есть, поддержка как бы есть, но она как бы выключена, и включить ее обратно самому пользователю - никак. Та же история и с Firefox - поддержка TLS 1.1 в нем, на самом деле, есть, но пользователю она пока недоступна.
Резюме из вышеприведенного многобуквия. Чем вообще грозит использование устаревших версий протоколов шифрования? Тем, что кто-то посторонний влезет в ваше защищенное соединение с сайтом и получит доступ ко всей информации «туда» и «оттуда». В практическом аспекте - получит полный доступ к ящику электронной почты, аккаунту в системе клиент-банк и т.п.
Случайно влезть в чужое защищенное соединение вряд ли получится, мы говорим только о злонамеренных действиях. Если вероятность таких действий низка, или передаваемая через защищенное соединение информация не представляет особой ценности, то можно не заморачиваться и пользоваться браузерами, поддерживающими только TLS 1.0.
В противном случае - выбора нет: только Opera и только TLS 1.2 (TLS 1.1 - это лишь усовершенствование TLS 1.0, частично унаследовавшее его проблемы с безопасностью). Впрочем, наши любимые сайты могут и не поддерживать TLS 1.2 :(
Итак, настраиваем браузеры на использование актуальных версий протокола TLS и не использование его устаревших версий и SSL вообще. Во всяком случае, насколько это возможно в теории.
А теория нам говорит, что хотя Internet Explorer уже с версии 8 поддерживает TLS 1.1 и 1.2, под Windows XP и Vista мы его к этому никак не принудим. Кликаем: Сервис/Свойства обозревателя/Дополнительно и в разделе «Безопасность» находим: SSL 2.0, SSL 3.0, TLS 1.0... нашли еще что-то? Поздравляю, у вас будет TLS 1.1/1.2! Не нашли - у вас Windows XP или Vista, и в Редмонде вас считают отсталым.
Так вот, галочки со всех SSL - снимаем, на все имеющиеся TLS - ставим. Если доступен только TLS 1.0 - значит, так тому и быть, если более актуальные версии - лучше выбрать только их, а с TLS 1.0 снять галочку (и не удивляться потом, что часть сайтов не открываются по HTTPS). После чего жмем кнопки «Применить», «ОК».
С Opera проще - она устраивает нам настоящий банкет из разных версий протоколов: Инструменты/Общие настройки/Расширенные/Безопасность/Протоколы безопасности. Что мы видим? Весь набор, из которого оставляем галочки лишь на TLS 1.1 и TLS 1.2, после чего жмем кнопку «Подробнее» и там убираем галочки со всех строк, кроме тех, что начинаются с «256 bit AES» - они в самом конце. В начале списка есть строка «256 bit AES (Anonymous DH/SHA-256), с нее тоже снимаем галку. Жмем «ОК» и радуемся защищенности.
Впрочем, у Opera есть одно странное свойство: если включен TLS 1.0, то при необходимости установить защищенное соединение она сходу использует именно эту версию протокола, вне зависимости от поддержки сайтом более актуальных. Типа, зачем напрягаться - и так все прекрасно, все защищено. При включении только TLS 1.1 и 1.2, сначала будет попытка использования более совершенной версии, и только если она не поддерживается сайтом, браузер переключится на версию 1.1.
А вот сферический Огнелис Firefox нас совсем не порадует: Инструменты/Настройки/Дополнительно/Шифрование: все, что мы можем - это отключить SSL, TLS доступен только в версии 1.0, делать нечего - его и оставляем с галочкой.
Впрочем, плохое познается в сравнении: Chrome и Safari вообще не содержат настроек, какой протокол шифрования использовать. Насколько известно, Safari не поддерживает TLS более актуальных версий, чем 1.0 в версиях под ОС Windows, а поскольку выпуск новых его версий под эту ОС прекращен, то и не будет.
Chrome, насколько известно, поддерживает TLS 1.1, но, как и в случае с Safari, отказаться от использования SSL мы не можем. Отключить в Chrome TLS 1.0 - тоже никак. А вот с реальным использованием TLS 1.1 - большой вопрос: его сначала включили, потом выключили из-за проблем в работе и, насколько можно судить, обратно пока не включили. То есть, поддержка как бы есть, но она как бы выключена, и включить ее обратно самому пользователю - никак. Та же история и с Firefox - поддержка TLS 1.1 в нем, на самом деле, есть, но пользователю она пока недоступна.
Резюме из вышеприведенного многобуквия. Чем вообще грозит использование устаревших версий протоколов шифрования? Тем, что кто-то посторонний влезет в ваше защищенное соединение с сайтом и получит доступ ко всей информации «туда» и «оттуда». В практическом аспекте - получит полный доступ к ящику электронной почты, аккаунту в системе клиент-банк и т.п.
Случайно влезть в чужое защищенное соединение вряд ли получится, мы говорим только о злонамеренных действиях. Если вероятность таких действий низка, или передаваемая через защищенное соединение информация не представляет особой ценности, то можно не заморачиваться и пользоваться браузерами, поддерживающими только TLS 1.0.
В противном случае - выбора нет: только Opera и только TLS 1.2 (TLS 1.1 - это лишь усовершенствование TLS 1.0, частично унаследовавшее его проблемы с безопасностью). Впрочем, наши любимые сайты могут и не поддерживать TLS 1.2 :(