você está aqui: Home  → Arquivo de Mensagens

Série Firefox - Certificados e Criptografia - Naurú Mboapy (4)

Colaboração: Diego Boot

Data de Publicação: 15 de agosto de 2016

Esse é o terceiro vídeo da série Naurú (Bravo em Tupi-guarani) em homenagem ao "recente" anúncio da Mozilla traduzir o navegador para o idioma Guarani. O projeto foi criado e coordenado por Alcídes Torres com o foco em "uma tradução muito amigável e que não gere complicações", disse Torres.

A série tem como objetivo dar dicas para usuários avançados ou não de como deixar o navegador para mais veloz com a melhor performance possível, além de ensinar como manter a privacidade e segurança de quem utiliza o browser.

Bloqueio de Conteúdo Misto

Desde a v23 do Firefox, foi implementado um bloqueador de conteúdo misto. O recurso permite bloquear o conteúdo que foi carregado a partir de uma fonte não segura dentro de uma página segura (ou seja, https). No entanto, se o conteúdo que você liberar for enviado com um erro, ele pode não aparecer.

Isso se transforma em uma repetição tediosa na permissão do conteúdo. Quando você está desenvolvendo um conteúdo web em um ambiente de desenvolvendo que pode incluir conteúdo misto, é muito chato.

O bug já foi corrigido (supostamente na v24) e você pode desativar a chave na configuração, mas lembre-se, você só deve fazer isso se realmente o conteúdo for seguro.

  security.mixed_content.block_active_content » true | EX: CSS inseguro ou JS em uma página HTTPS - este é ativado por padrão
  security.mixed_content.block_display_content » true | conteúdo "passivo" - EX: imagens não seguras em uma página HTTPS

Veja mais em MDN | Cyntech's Tech Blog

Forçar fixação de chave pública para CA

A fixação de Chave Pública é um mecanismo para sites possam especificar quais autoridades de certificação emitiram certificados válidos para determinados sites, para que possam rejeitar conexões TLS para esses sites caso o certificado não tenha sido emitido de forma confiável. A fixação de chave pública impede ataques man-in-the-middle, devido à CAs Autoridade de Certificação mal-intencionadas.

O recurso liga um conjunto de hashes nas chaves públicas para um nome de domínio de tal forma que ao se conectar a um site usando TLS o navegador garanta que há uma cruzamento entre as chaves públicas na cadeia de confiança calculada e o conjunto de impressões digitais associados a esse domínio. Esta verificação é feita durante a fase de verificação de certificado da conexão, antes de que qualquer dado seja enviado ou processado pelo browser. Em particular, a Mozilla mantém as sha256. A fim de reduzir as rejeições.

  security.cert_pinning.enforcement_level » 2

Veja mais em Mozilla Wiki

Preferência gerais de SSl/TLS

Usuários em uma rede comprometida podem ser direcionados para sites usando um certificados fraudulentos, semelhantes com os sites legítimos. Essa ação mal-intencionada pode levar ao usuário a revelar informações pessoais, como nomes de usuário e senhas. Esse tipo de ação também pode levar os usuários a baixarem malwares se eles acreditam que está vindo de um site confiável.

Com referência a segunda chave, ela pode ser usada para obter o feedback visual ao se conectar a um servidor que ainda utiliza a versão antiga do protocolo, ainda não apoiar o novo, melhorado versão de protocolo(s). Quando definida como true, ao se conectar a um servidor, o Firefox irá avisar sobre "segurança" exibindo um cadeado vermelho/quebrados na sua barra de status.

Já em relação a terceira chave nós desabilitamos para voltar pela ROT13 vem do inglês, ROTate by 13 places, "ROTacionar 13 posições" o nome que se costuma usar para um procedimento simples mas eficaz para garantir que textos eletrônicos não sejam lidos por distração ou acidente. Especificamente, a cifra ROT-13 tem se mostrado útil principalmente para proteger endereços de correio eletrônico (evitando SPAM, o envio de mensagens não solicitadas) e para "proteger" mensagens que o remetente pode preferir não ler - comentários sobre livros, filmes, ou séries, piadas politicamente incorretas.

  security.ssl.errorReporting.enabled » false
  security.ssl.treat_unsafe_negotiation_as_broken » true
  security.tls.unrestricted_rc4_fallback » false

Veja mais em Mozilla Security Blog | Mozilla Wiki

Pacotes de criptografia

Esse pacote de criptografia ou suíte de codificação se preferir foi copiado por mim @diegoboot e por dfkt do usuário pyllyukko e pode estar desatualizado.

Ressalto que o pacote de criptografia não está presente por padrão desde o FF43, eles são omitidos. De qualquer forma, de acordo com testes ele aparentemente não são suportados.

Com relação a chave RC4, atualmente ela está desabilitada quando usando TLS, exceto para alguns web sites especificamente listados numa whitelisted. Esta lista branca é uma medida provisória até que a que se ache uma solução bug 1124039. Este retorno é controlado pela preferência do security.tls.unrestricted_rc4_fallback, que está por padrão até o momento bug 1138882.

  security.ssl3.dhe_rsa_aes_128_sha » false
  security.ssl3.dhe_rsa_aes_256_sha » false
  security.ssl3.ecdhe_ecdsa_aes_128_gcm_sha256 » true
  security.ssl3.ecdhe_ecdsa_aes_128_sha » false
  security.ssl3.ecdhe_ecdsa_aes_256_sha » true
  security.ssl3.ecdhe_ecdsa_rc4_128_sha » false
  security.ssl3.ecdhe_rsa_aes_128_gcm_sha256 » true
  security.ssl3.ecdhe_rsa_aes_128_sha » false
  security.ssl3.ecdhe_rsa_aes_256_sha » true
  security.ssl3.ecdhe_rsa_rc4_128_sha » false
  security.ssl3.rsa_aes_128_sha » true
  security.ssl3.rsa_aes_256_sha » true
  security.ssl3.rsa_des_ede3_sha » false
  security.ssl3.rsa_rc4_128_md5 » false
  security.ssl3.rsa_rc4_128_sha » false

Veja mais em MDN | RC4 | BugZilla

Rejeitar Certificados SHA1

Já há um bom tempo que a Mozilla reverteu sua mudança para rejeitar definitivamente certificados SHA-1, mas após notar alguns ataques man-in-the-middle legítimos em dispositivos, como alguns scanners de segurança e produtos antivírus, eles são incapazes de se conectar a sites HTTPS.

O Firefox começou a rejeitar certificados de SHA-1 de 1 de Janeiro/2016. Mas em um post de blog de segurança da Mozilla, o líder de segurança do Firefox Richard Barnes escreveu, "quando um usuário tenta se conectar a um site HTTPS, o dispositivo de man-in-the-middle envia ao Firefox um novo certificado de SHA-1 em vez do certificado real do servidor. Já que o Firefox rejeita novos certificados de SHA-1, ele não pode se conectar ao servidor".

Usando o pref em nível de execução possibilita que os usuários desativem esta proibição caso seja necessário, e nos dá uma maneira fácil de rejeitar completamente certificados SHA-1 no futuro. É um pouco estranho ter uma chave especial só para o SHA-1 ao mesmo tempo, não vejo uma maneira útil de generalizar.

  security.pki.sha1_enforcement_level » 1

Veja mais em BugZilla | SC Magazine

≡ Mboapy é o número 3/três em guarani
≡ O próximo vídeo vai ser Irundy que é o número 4

✍ Assine o canal । Subscribe
✍ YouTube: https://youtube.com/c/TavernaLinuxBR

Página do projeto Firefox Tweaks

║ Creative Commons

║ Playlist no SoundCloud 🎶
https://soundcloud.com/diegoboot/sets/serie-firefox-nauru-no-taverna



 

 

Veja a relação completa dos artigos de Diego Boot

Opinião dos Leitores

Seja o primeiro a comentar este artigo
*Nome:
Email:
Me notifique sobre novos comentários nessa página
Oculte meu email
*Texto:
 
  Para publicar seu comentário, digite o código contido na imagem acima
 


Powered by Scriptsmill Comments Script