Los navegadores Chrome empezarán a mostrar advertencias sobre TLS 1.0 y 1.1

Es posible que, sobre finales del año pasado (Octubre 2019), tu sitio web haya recibido el aviso de Google de que a partir de Enero de 2020, Chrome mostraría una advertencia de sitio web «No seguro» si es que los certificados tus recursos web todavía usan TLS 1.0 o 1.1 teniendo en cuenta que Chrome ha eliminado su compatibilidad (al igual que han hecho otros navegadores como Apple, Microsoft y Mozilla).

Según datos de Google, si bien el uso de TLS heredado ha disminuido, todavía quedan cargas de página utilizando versiones obsoletas de «Legacy TLS Version in Main Frame Resource». 

porcentaje de cargas de página (en Chrome) que utilizan esta función al menos una vez
Se muestra el porcentaje de cargas de página (en Chrome) que utilizan esta función al menos una vez. Los datos están en todos los canales y plataformas.
Fuente: Chrome Status
adopción de la función por parte de las principales URL en Internet.
Se muestra la adopción de la función por parte de las principales URL en Internet.
Fuente: Chrome Status

Para ayudar a la transición a nivel de usuario cuando se encuentren con esa advertencia, Chrome suspenderá el soporte en dos pasos: primero, mostrando nuevos indicadores de seguridad para los sitios que usan estas versiones obsoletas; y segundo, bloqueando las conexiones a estos sitios con una advertencia a página completa. Y es que en un inicio a partir de enero del 2020, Chrome (versión 79) mostraría una advertencia de seguridad en todos los sitios web que no fueran compatibles con TLS 1.2 o versiones posteriores. Este aviso no impediría que los usuarios visiten o usen la página, pero los alertaría sobre la seguridad de conexión.

Mensaje de seguridad de conexión que se mostrará a los usuarios que visiten un sitio utilizando TLS 1.0 o 1.1 a partir de enero de 2020.
Fuente: Blog de Chromium

En marzo del 2020, Chrome (versión 81) mostraría un mensaje de advertencia de pantalla completa en estos sitios web. Sin embargo esta decisión se ha retrasado hasta al menos la versión de Chrome 84 donde se mostraría la advertencia intersticial de página completa para los sitios afectados.

advertencia intersticial de página completa para los sitios afectados.
Fuente: Blog de Chromium

Qué significa TLS (o SLL) en dispositivos Chrome

TLS (Transport Layer Security) es el protocolo que asegura HTTPS para realizar conexiones más seguras desde el navegador a través de Internet. La inspección de Seguridad en la capa de transporte (TLS) (también denominada «inspección SSL») es una función de seguridad proporcionada por filtros web de terceros que permite configurar un filtro web para detectar amenazas online.

Tiene una larga historia que se remonta al TLS 1.0 de casi veinte años y su predecesor aún más antiguo, SSL. TLS 1.2 se publicó hace diez años para abordar las debilidades en TLS 1.0 y 1.1 y ha tenido una amplia adopción desde entonces. Hoy en día Chrome y Firefoz soportan la versión TLS 1.3.

Más información sobre su configuración, aquí.

Cómo saber qué versión de TLS utiliza mi sitio web

Si eres propietario de un sitio web, puedes comprobar desde la herramienta de desarrolladores de Chrome (Seguridad) qué versión utilizan tus diferentes recursos o llamadas en tu web así como sus certificados y el contenido mixto.. Recordar que se recomienda TLS 1.2 o superiores.

En este apartado de la DevTools de Chrome, se muestra un resumen del estado de la url en cuanto a Identidad (certificado), Conexión (protocolo, conjunto de cifrado) y Contenido Mixto.

Seguridad Chrome Facebook
Fuente: Herramienta de Desarrolladores de Chrome (v84)

Cómo activar el protocolo TLS 1.3 en Chrome y Firefox

En Chrome (v84)

Si utilizáis Chrome y quieres activar el protocolo TLS 1.3, simplemente tienes que abrir una ventana nueva y escribir Chrome://flags .

Después buscas TLS 1.3 y habilitas la opción.

Flags de Chrome Beta TLS 1.3

En Firefox (v79)

Si además usáis Mozilla Firefox y quieres activar TLS 1.3, tendrás que abrir una ventana nueva y escribir about:config .

Después buscas security.tls.version.max y la editas para poder cambiar su valor por «4«, que es el máximo que corresponde con la versión TLS 1.3. Por defecto, ésta última versión ya tiene habilitada la opción.

Configuración TLS 1.3 en mozilla firefox

Criterios de Chrome para TLS actuales

Los criterios actuales de Chrome para TLS modernos son los siguientes:

  • TLS 1.2 o posterior.
  • Un conjunto de cifrado basado en ECDHE y AEAD.
  • La firma del servidor debe usar SHA-2. 

Las opciones anteriores (conjuntos de cifrado en modo CBC, intercambio de claves de cifrado RSA y firmas en línea SHA-1) tienen fallos criptográficas conocidas. Cada uno se ha eliminado en el TLS 1.3 recientemente publicado , que es compatible con Chrome 70.

Para solucionar este problema

Para evitar que aparezcan advertencias cuando los usuarios de Chrome visiten tu sitio web, actualízalo a una versión reciente de TLS (1.2 o posterior). Para ello, según tu software de servidor (por ejemplo, Apache o nginx), es posible que haya que cambiar la configuración o actualizar el software. Estos cambios no requieren obtener un certificado nuevo.

Fuentes: