🔏 Firefox - Certificados e Criptografia ፤ Naurú Mboapy

Esse é o terceiro vídeo da série Naurú [Bravo em Tupi-guarani] em homenagem ao “recente” anúncio da Mozilla traduzir o navegador para o idioma Guarani. O projeto foi criado e coordenado por Alcídes Torres com o foco em “uma tradução muito amigável e que não gere complicações”, disse Torres.

A série tem como objetivo dar dicas — para usuários avançados ou não — de como deixar o navegador para mais veloz com a melhor performance possível, além de ensinar como manter a privacidade e segurança de quem utiliza o browser.

Bloqueio de Conteúdo Misto

Desde a v23 do Firefox, foi implementado um bloqueador de conteúdo misto. O recurso permite bloquear o conteúdo que foi carregado a partir de uma fonte não segura dentro de uma página segura [ou seja, https]. No entanto, se o conteúdo — que você liberar — for enviado com um erro, ele pode não aparecer.

Isso se transforma em uma repetição tediosa na permissão do conteúdo. Quando você está desenvolvendo um conteúdo web em um ambiente de desenvolvendo que pode incluir conteúdo misto, é muito chato.

O bug já foi corrigido [supostamente na v24] e você pode desativar a chave na configuração, mas lembre-se, você só deve fazer isso se realmente o conteúdo for seguro.

security.mixed_content.block_active_content » true | EX: CSS inseguro ou JS em uma página HTTPS — este é ativado por padrão 
security.mixed_content.block_display_content » true | conteúdo “passivo” — EX: imagens não seguras em uma página HTTPS

Veja mais em 
MDN | Cyntech’s Tech Blog

Forçar fixação de chave pública para CA

A fixação de Chave Pública é um mecanismo para sites possam especificar quais autoridades de certificação emitiram certificados válidos para determinados sites, para que possam rejeitar conexões TLS para esses sites caso o certificado não tenha sido emitido de forma confiável. A fixação de chave pública impede ataques man-in-the-middle, devido à CAs [Autoridade de Certificação] mal-intencionadas.

O recurso liga um conjunto de hashes nas chaves públicas para um nome de domínio de tal forma que ao se conectar a um site usando TLS o navegador garanta que há uma cruzamento entre as chaves públicas na cadeia de confiança calculada e o conjunto de impressões digitais associados a esse domínio. Esta verificação é feita durante a fase de verificação de certificado da conexão, antes de que qualquer dado seja enviado ou processado pelo browser. Em particular, a Mozilla mantém as sha256. A fim de reduzir as rejeições.

security.cert_pinning.enforcement_level » 2

Veja mais em 
Mozilla Wiki

Preferência gerais de SSl/TLS

Usuários em uma rede comprometida podem ser direcionados para sites usando um certificados fraudulentos, semelhantes com os sites legítimos. Essa ação mal-intencionada pode levar ao usuário a revelar informações pessoais, como nomes de usuário e senhas. Esse tipo de ação também pode levar os usuários a baixarem malwares se eles acreditam que está vindo de um site confiável.

Com referência a segunda chave, ela pode ser usada para obter o feedback visual ao se conectar a um servidor que ainda utiliza a versão antiga do protocolo, ainda não apoiar o novo, melhorado versão de protocolo(s). Quando definida como true, ao se conectar a um servidor, o Firefox irá avisar sobre “segurança” exibindo um cadeado vermelho/quebrados na sua barra de status.

Já em relação a terceira chave nós desabilitamos para voltar pela ROT13 — vem do inglês, ROTate by 13 places, “ROTacionar 13 posições” — o nome que se costuma usar para um procedimento simples mas eficaz para garantir que textos eletrônicos não sejam lidos por distração ou acidente. Especificamente, a cifra ROT-13 tem se mostrado útil principalmente para proteger endereços de correio eletrônico [evitando SPAM, o envio de mensagens não solicitadas] e para “proteger” mensagens que o remetente pode preferir não ler — comentários sobre livros, filmes, ou séries, piadas politicamente incorretas.

security.ssl.errorReporting.enabled » false
security.ssl.treat_unsafe_negotiation_as_broken » true
security.tls.unrestricted_rc4_fallback » false

Veja mais em 
Mozilla Security Blog | Mozilla Wiki

Pacotes de criptografia

Esse pacote de criptografia — ou suíte de codificação se preferir — foi copiado por mim [@diegoboot] e por dfkt do usuário pyllyukko e pode estar desatualizado.

Ressalto que o pacote de criptografia não está presente por padrão desde o FF43, eles são omitidos. De qualquer forma, de acordo com testes ele aparentemente não são suportados.

Com relação a chave RC4, atualmente ela está desabilitada quando usando TLS, exceto para alguns web sites especificamente listados numa whitelisted. Esta lista branca é uma medida provisória até que a que se ache uma solução [bug 1124039]. Este retorno é controlado pela preferência do security.tls.unrestricted_rc4_fallback, que está por padrão até o momento [bug 1138882].

security.ssl3.dhe_rsa_aes_128_sha » false
security.ssl3.dhe_rsa_aes_256_sha » false
security.ssl3.ecdhe_ecdsa_aes_128_gcm_sha256 » true
security.ssl3.ecdhe_ecdsa_aes_128_sha » false
security.ssl3.ecdhe_ecdsa_aes_256_sha » true
security.ssl3.ecdhe_ecdsa_rc4_128_sha » false
security.ssl3.ecdhe_rsa_aes_128_gcm_sha256 » true
security.ssl3.ecdhe_rsa_aes_128_sha » false
security.ssl3.ecdhe_rsa_aes_256_sha » true
security.ssl3.ecdhe_rsa_rc4_128_sha » false
security.ssl3.rsa_aes_128_sha » true
security.ssl3.rsa_aes_256_sha » true
security.ssl3.rsa_des_ede3_sha » false
security.ssl3.rsa_rc4_128_md5 » false
security.ssl3.rsa_rc4_128_sha » false

Veja mais em 
MDN | RC4 | BugZilla

Rejeitar Certificados SHA1

Já um bom tempo que a Mozilla reverteu sua mudança para rejeitar definitivamente certificados SHA-1, mas após notar alguns ataques man-in the-middle legítimos em dispositivos, como alguns scanners de segurança e produtos antivírus, eles são incapazes de se conectar a sites HTTPS.

O Firefox começou a rejeitar certificados de SHA-1 de 1 de Janeiro/2016. Mas em um post de blog de segurança da Mozilla, o líder de segurança do Firefox Richard Barnes escreveu, “quando um usuário tenta se conectar a um site HTTPS, o dispositivo de man-in-the-middle envia ao Firefox um novo certificado de SHA-1 em vez do certificado real do servidor. Já que o Firefox rejeita novos certificados de SHA-1, ele não pode se conectar ao servidor”.

Usando o pref em nível de execução possibilita que os usuários desativem esta proibição caso seja necessário, e nos dá uma maneira fácil de rejeitar completamente certificados SHA-1 no futuro. É um pouco estranho ter uma chave especial só para o SHA-1 — ao mesmo tempo, não vejo uma maneira útil de generalizar.

security.pki.sha1_enforcement_level » 1

Veja mais em 
BugZilla | SC Magazine

Mboapy é o número 3/três em guarani
O próximo vídeo vai ser Irundy que é o número 4
Inscreva-se • Subscrible 
 youtube.com/c/TavernaLinuxBR
📄 comente 👍 curta 🔄 compartilhe!

Medium TwitterFacebook InstagramGoogle+QuitterTumblr


Originally published at www.linkedin.com.

One clap, two clap, three clap, forty?

By clapping more or less, you can signal to us which stories really stand out.