Navegadores para bloquear el acceso a los sitios HTTPS usando TLS 1. y 1.1 a partir de este mes


Más de 850,000 sitios internet todavía usan los antiguos protocolos TLS 1. y 1.1, programados para ser eliminados de la mayoría de los principales navegadores a finales de este mes.

Esto incluye sitios web para los principales bancos, gobiernos, organizaciones de noticias, telecomunicaciones, tiendas de comercio electrónico y comunidades de World-wide-web, según un informe publicado hoy por la empresa de tecnología del Reino Unido Netcraft.

Todos los 850,000 sitios net usan HTTPS, pero en una versión que es débil. Los sitios world wide web admiten conexiones HTTPS a través de certificados criptográficos integrados en los protocolos TLS 1. y TLS 1.1.

Estos son protocolos antiguos, lanzados en 1996 y 2006, respectivamente. Los protocolos utilizan algoritmos criptográficos débiles y son vulnerables a una serie de ataques criptográficos que se han revelado en las últimas dos décadas, como BEAST, Fortunate 13, SWEET 32, Crime y POODLE. Estos ataques permiten a los atacantes descifrar HTTPS y acceder al tráfico website de texto sin formato de un usuario.

Se lanzaron nuevas versiones de estos protocolos en 2008 (TLS 1.2) y 2017 (TLS 1.3), los cuales se consideran superiores y más seguros de usar que TLS 1. y TLS 1.1.

La eliminación de TLS 1. y TLS 1.1 se anunció hace dos años.

Después del lanzamiento de TLS 1.3 en la primavera de 2018, los cuatro fabricantes de navegadores: manzana, Google, Mozillay Microsoft – se reunieron y anunciaron conjuntamente en octubre de 2018 planes para eliminar el soporte para TLS 1. y TLS 1.1 a principios de 2020.

Las primeras etapas de esta depreciación comenzaron el año pasado cuando los navegadores comenzaron a etiquetar sitios que usaban TLS 1. y TLS 1.1 con un indicador «No seguro» en la barra de direcciones URL y el ícono de candado, insinuando a los usuarios que la conexión HTTPS no era tan segura como se pueden imaginar.

firefox-weak-encryption.png

Imagen: ZDNet

Más adelante este mes, los navegadores pasarán de mostrar una advertencia oculta a mostrar errores de página completa cuando los usuarios accedan a sitios que usan TLS 1. o TLS 1.1.

chrome-tls-error.png "src =" https://zdnet4.cbsistatic.com/hub/i/2020/03/04/60a45cac-6d01-4331-aa37-2e57c2aad573/chrome-tls-error.png

Mistake de TLS 1. / 1.1 en Chrome

Imagen: ZDNet

mozilla-tls-error.png "src =" https://zdnet4.cbsistatic.com/hub/i/2020/03/04/40772872-5ff8-45d0-9019-26809182f2e3/mozilla-tls-error.png

Mistake de TLS 1. / 1.1 en Firefox

Imagen: Mozilla

Estos errores de página completa están programados para implementarse con el lanzamiento de Cromo 81, y con Firefox 74, ambos programados a finales de este mes. Safari también estaba programado para eliminar TLS 1. y 1.1 este mes, por su anuncio inicial.

Microsoft hará lo mismo a finales de abril, con el lanzamiento de (basado en Chromium) Borde 82.

Según los escaneos de Netcraft, el número de sitios que se verán afectados será de alrededor de 850,000, de los cuales, más de 5,000 están clasificados en el Top rated 1 Million de sitios de Alexa.

«Eliminar el soporte del lado del cliente para estos protocolos más antiguos es la forma más efectiva de garantizar que sus vulnerabilidades asociadas ya no puedan presentar ningún riesgo». Los investigadores de Netcraft dijeron.



Enlace a la noticia initial