Mozilla emite una advertencia final a los sitios web que usan TLS 1.0

Actualidadcifrado

En algún momento de marzo, los navegadores Firefox, Chrome, Safari y Edge comenzarán a emitir advertencias cuando los usuarios visiten sitios web que solo admiten las versiones 1.0 o 1.1 de Transport Layer Security (TLS).

Anunciado en octubre de 2018 como parte de un plan conjunto para eliminar el soporte, las implicaciones para cualquier sitio que aún lo siga utilizando son claras: habilite el TLS 1.2 posterior o, idealmente, 1.3, o no tenga tráfico.

Según el último recordatorio de Mozilla, los visitantes que usen Firefox comenzarán a ver el mensaje “Error de conexión segura” con SSL_ERROR_UNSUPPORTED_VERSION adjunto para cualquier persona que tenga dudas.

Inicialmente, será posible anular esto, pero solo por un período limitado. Más temprano que tarde, Mozilla dice que también desaparecerá:

Estamos comprometidos a erradicar por completo las versiones poco seguras de TLS porque en Mozilla creemos que la seguridad del usuario no debe tratarse como una opción.

Otros navegadores seguirán su ejemplo, ya que el navegador Chrome adoptó los mensajes “Su conexión a este sitio no es completamente segura” el mes pasado con un bloqueo completo que comenzará en marzo.

Netscape Navigator

Pero, ¿cuál es la razón para erradicar TLS 1.0 y 1.1?

Aunque no es exactamente un nombre muy conocido, TLS es el protocolo de cifrado que hace posible varios tipos de conexión segura, incluidas las versiones seguras de SMTP, POP3, FTP y, por supuesto, HTTP.

Por ejemplo, cuando un navegador visita un sitio usando HTTPS, TLS configura la autenticación, el intercambio de claves de sesión y el acuerdo sobre los conjuntos de cifrado.

Para que todo esto funcione, ambos extremos también deben acordar qué versión de TLS usarán, que es donde comienzan los problemas para las versiones más antiguas.

El problema número uno es la edad de TLS 1.0 y 1.1.

En lo que respecta al IETF, TLS 1.0 ha existido desde 1999, basándose en tecnologías inventadas años antes para trabajar con el famoso pero antiguo navegador Navigator de Netscape.

TLS 1.1 llegó en 2006, pero fue mejorado rápidamente por TLS 1.2 dos años después. Ahora estamos a la altura de TLS 1.3, cuyo soporte se está produciendo ahora.

Pasar de TLS 1.0 a 1.3 puede no parecer un gran salto, pero TLS 1.3 es mucho más seguro y está más optimizado para la velocidad de Internet de hoy en día, ambas razones son suficientes para pedirles a las webs que se deshagan de las versiones anteriores.

No está claro cuántos sitios todavía usan TLS 1.0 y 1.1 (Google estima que alrededor del 0,75% de las páginas vistas), pero incluso una pequeña cantidad de webs suponen ahora un número demasiado grande.

A juzgar por los sitios citados por Google, la mayoría parece ser dominios pequeños que o no se gestionan o se gestionan pasivamente.

A partir de marzo, debido a una actualización, estos sitios comenzarán a sufrir las consecuencias.

3 Comentarios

Existe una inmensa cantidad de páginas web, de empresas en funcionamiento, que carecen de mantenimiento y tienen más de una década.

Igual con esto empiezan a ponerse un poco las pilas y realizan actualizaciones de su presencia en internet :)

Un Saludo

Reply

Soy novato en este tema y me gustaría comprender como funciona esto. Por lo que entiendo, cuando el browser visita un servidor, el browser le presenta el protocolo TLS más bajo con el cual puede operar, si dicho protocolo no es soportado por el servidor que estamos visitando, el handshake no se realiza y el sitio no me cargara ¿verdad?.

Reply

como puedo pasar mi sitio web a TLS1.3.? Tengo que comprar otro certificado SSL el cual tenga soporte para el protocolo TLS1.3 o son contiguraciones a nivel del aplication server que hay que realizar.?

Reply

Leave a Reply

Your email address will not be published.