Este artículo le mostrará cómo deshabilitar SSL 3.0 y TLS 1.0 en su navegador.
Introducción
Después del disgusto de POODLE, tanto Google como Chrome aseguraron sus últimas versiones de navegador (Firefox 35, Chrome 40) al prohibir por completo el uso del protocolo de encriptación SSL 3.0, ya que POODLE utiliza este protocolo como vector de ataque. (Microsoft ha lanzado varios parches y arreglos rápidos para Internet Explorer 11 y afirma que deshabilitarán por completo SSL 3.0 en abril de 2015).
Deshabilitar SSL 3.0 es definitivamente algo bueno. Sin embargo, la revelación posterior de que TLS 1.0 es also vulnerable parece haberlos pillado desprevenidos. En este artículo, le mostraremos cómo protegerse obligando a su navegador a usar only el mas seguro TLS 1.1 y TLS 1.2 protocolos.
NOTA: POODLE y exploits similares funcionan cuando tanto el servidor como el navegador finalizan de una conexión supuestamente segura pueden ser engañados para que usen un protocolo obsoleto. Si ha asegurado su navegador para usar solo TLS 1.1 / 1.2, pero el servidor del sitio web aún se basa en protocolos antiguos e inseguros, tenga en cuenta que puede tener problemas para conectarse a ese sitio.
Cómo desactivar SSL 3.0 y TLS 1.0 en Internet Explorer
- Haz clic izquierdo en el ícono de ajustes:
- Seleccione "Opciones de Internet" en el menú desplegable:
- Haga clic en la pestaña "Avanzado", desplácese hacia abajo y anule la selección de "SSL 3.0" y "TLS 1.0 ".
- Haga clic en "Aceptar" para aceptar los cambios, que deberían tener efecto de inmediato. (Es posible que deba actualizar su navegador).
Cómo desactivar SSL 3.0 y TLS 1.0 en Firefox
- En la barra de direcciones, escriba "about: config" y presione enter.
- En el campo “Buscar”, introduzca “tls”. Busque y haga doble clic en la entrada “security.tls.version.min”.
- Establezca el valor entero en "2" para forzar un protocolo mínimo de TLS 1.1 (ingresar "3" forzaría TLS 1.2).
- Esta configuración ahora mostrará el nuevo valor y entrará en vigencia inmediatamente (no olvide borrar su caché).
Cómo desactivar SSL 3.0 y TLS 1.0 en Google Chrome
¡La ciencia continúa! Una masiva punta del sombrero (o punta del sombrero masivo) al comentarista Juan Giles por señalar que usar chrome: // flags / es la forma más reciente y fácil de configurar la versión mínima del protocolo en Chrome. Debemos tener en cuenta que Google cuelga un advertencia roja sobre el uso de banderas; sin embargo, nuestras pruebas han arrojado resultados positivos. John dice:
Para Chrome, ¿qué tal esto ?:
chrome: // banderas
En "SSL mínimo /TLS versión compatible ", cambie de" Predeterminado "a"TLS 1.1 ?.
Luego presione el botón "Reiniciar ahora" en la parte inferior de la página.
Gracias de nuevo, John!
A diferencia de IE y Firefox, Chrome puede only ser hecho para usar TLS 1.1 / 1.2 mediante un interruptor de línea de comandos: un argumento agregado a la cadena que enciende el navegador. Esto se puede implementar configurando un atajo como le mostraremos a continuación, pero tenga en cuenta que SÓLO iniciar Chrome desde este atajo evitará el uso de protocolos inseguros.
Para crear un acceso directo seguro:
- Haga clic derecho en su escritorio y seleccione "Nuevo", luego "Acceso directo".
- En el panel "Crear acceso directo", busque la ubicación de su instalación de Chrome y seleccione el icono de Chrome; la ubicación predeterminada es:
C: Archivos de programa (x86) GoogleChromeApplicationchrome.exe
- Agregue el siguiente modificador de línea de comando
--ssl-version-min=tls1.1
después de la ubicación del elemento (es decir, después de la cita final) para que aparezca así:"C:Archivos de programa (x86)GoogleChromeApplicationchrome.exe" --ssl-version-min=tls1.1
Asegúrese de separar el interruptor de la ubicación con un espacio.
- Nombre el acceso directo (SSL.com sugiere darle un nombre único que le recordará que este acceso directo es seguro) y haga clic en "Finalizar".
- Una vez más, la única forma de asegurarse de que su sesión de Chrome sea segura es usar su nuevo acceso directo.
Siga leyendo para obtener más información sobre:
- Preguntas frecuentes sobre SSL /TLS
- Llaves, certificados y apretones de manos
- SSL /TLS y navegación web segura
- Obtener un SSL /TLS Certificado