Fundação Mozilla reativou TLS inseguro no Firefox para melhorar o acesso às informações da COVID19

Entenda porque a Mozilla reativou TLS inseguro no Firefox para melhorar o acesso às informações da COVID19!

Surpreendendo a todos, a Fundação Mozilla reativou TLS inseguro no Firefox para melhorar o acesso às informações da COVID19. Entenda melhor essa mudança.

O suporte ao TLS 1.0 e TLS 1.1 foi descartado com o lançamento do Firefox 74.0 em 10 de março, para melhorar a segurança das conexões com sites, assim, os sites que não suportam TLS 1.2 ou TLS 1.3 mostram uma página de erro “Falha na conexão segura” em vez de conteúdo e um botão ‘Ativar TLS 1.0 e 1.1’, para essa conexão com o site.

Fundação Mozilla reativou TLS inseguro no Firefox para melhorar o acesso às informações da COVID19
Fundação Mozilla reativou TLS inseguro no Firefox para melhorar o acesso às informações da COVID19

Em outubro de 2018, todos os principais fabricantes de navegadores, incluindo Microsoft, Google, Apple e Mozilla, anunciaram a retirada dos protocolos TLS 1.0 e TLS 1.1 lançados há mais de uma década.

Com mais de 97% dos sites pesquisados ​​pelo Qualys SSL Labs com suporte para TLS 1.2 e TLS 1.3, a decisão de retirar os dois protocolos em favor de TLS 1.3 e TLS 1.3 mais novos e com melhor suporte é lógica, pois eles podem fornecer um caminho mais seguro no futuro.

Agora, a Mozilla diz que o suporte aos TLS 1.0 e TLS 1.1 inseguros será reativado na versão mais recente do Firefox, para manter o acesso a sites governamentais com informações da COVID19 que ainda não foram atualizadas para TLS 1.2 ou TLS 1.3.

Fundação Mozilla reativou TLS inseguro no Firefox para melhorar o acesso às informações da COVID19

Em uma atualização das notas de versão do Firefox 74.0, a Mozilla disse que:

“Revertemos a alteração por um tempo indeterminado para permitir melhor acesso a sites críticos do governo que compartilham informações sobre COVID19.”

Entretanto, de acordo com as estatísticas de uso do TLS 1.0 e TLS 1.1, no momento, a grande maioria dos usuários nem usa mais estes protocolos:

  • O Google informou que apenas 0,5% das conexões HTTPS feitas pelo Chrome estão usando TLS 1.0 ou TLS 1.1
  • A Apple informou que em suas plataformas menos de 0,36% das conexões HTTPS feitas pelo Safari estão usando TLS 1.0 ou TLS 1.1.
  • A Microsoft disse que apenas 0,72% das conexões seguras feitas pelo Edge usam TLS 1.0 ou 1.1.
  • O Firefox teve a maior quantidade de conexões, com 1,2% de todas as conexões usando TLS 1.0 ou 1.1.

Centenas de milhares de sites ainda confiam no TLS 1.0 e no TLS 1.1

Apesar disso, como a Netcraft relatou no início de março de 2020, mais de 850.000 sites ainda usam os protocolos TLS 1.0 e TLS 1.1 desatualizados e inseguros que expõem os usuários a uma ampla gama de ataques criptográficos, levando o tráfego da Web a ser descriptografado pelos invasores.

Sobre isso, a Netcraft disse o seguinte:

“O uso do TLS 1.0 em sites de comércio eletrônico como medida para proteger os dados do usuário é proibido pelo padrão de segurança de dados da indústria de cartões de pagamento desde junho de 2018, e muitos sites já migraram.”

No entanto, considerando que a Mozilla decidiu reativar o suporte para os dois protocolos TLS aposentados anteriormente, existem sites governamentais suficientes compartilhando informações sobre a atual pandemia de coronavírus para justificar essa reversão da decisão de remoção.

O que está sendo falado no blog

Veja mais artigos publicados neste dia…