COVID-19 obliga a los proveedores de navegadores a continuar admitiendo TLS 1.0

La pandemia del COVID-19 y la crisis mundial resultante nos está dejando consecuencias a todos los niveles. Otra de ellas es que ha detenido los planes de los principales proveedores de navegación web para abandonar el soporte de los protocolos de seguridad de la capa de transporte TLS 1.0 y 1.1, obsoletos e inseguros.

TLS es un importante protocolo que proporciona comunicaciones seguras en redes informáticas, especialmente Internet. Usa cifrado para garantizar la confidencialidad e integridad y se usa de manera amplia en navegadores web mediante HTTPS, en clientes de correo electrónico, en aplicaciones de mensajería instantánea.

TLS tiene varias versiones en uso. La más extendida actualmente v1.2 y la reciente v1.3, pero también son compatibles las versiones 1.0 y 1.1, tan antiguas (más de veinte años) que han acumulado numerosas debilidades que las vuelven inseguras, como confirmaron grandes ataques como BEAST en 2011 , Lucky Thirteen en 2013 y el POODLE SSL de 2014.

Tal era la preocupación existente que en 2018 fue capaz de poner de acuerdo a todos los grandes actores de la navegación web. De esta manera, Google, Microsoft, Apple y Mozilla, anunciaron una acción combinada para deshabilitar el soporte a TLS 1.0 y TLS 1.1 en Chrome, Edge, Safari y Firefox en 2020.

Estaba previsto que TLS 1.0 y 1.1 se deshabilitarían en Chrome 81, mientras que Firefox lo haría a lo largo del mes de marzo de 2020. Apple lo haría a partir de las actualizaciones de Safari para iOS y macOS y Microsoft, aunque no concretó fecha, lo haría en algún momento de la primera mitad de 2020.

Parece que la desconexión tendrá que esperar. Microsoft se ha referido a «circunstancias globales actuales», mientras que Mozilla ha sido algo más comunicativo: «Revertimos el cambio por un período de tiempo indeterminado para permitir mejor el acceso a sitios críticos del gobierno que comparten información del COVID19».

Irónicamente, permitir el acceso a esos sitios web (que deberían haberse adaptado) ha sido lo que ha obstaculizado la eliminación gradual del soporte para TLS 1.0 y de ahí la necesidad de que los fabricantes de navegadores interviniesen para poder hacerlo desde el cliente final.

Desarrollo de software

El COVID-19 está cambiando el mundo y también ha afectado al desarrollo de software de los grandes proveedores. Buena parte de los ingenieros y programadores de las grandes tecnológicas están en casa cumpliendo el confinamiento obligatorio o recomendado para frenar la pandemia. Aunque se puede seguir trabajando en casa, es obvio que la situación excepcional no permite completar todas las tareas, ni cumplir plazos, ni conectar los equipos como exigen los grandes desarrollos.

Las nuevas versiones del software no solo exigen personal para desarrollarlas sino para pruebas, con garantía de estabilidad en los lanzamientos. Google retrasó el desarrollo de las nuevas versiones de Chrome y Microsoft suspendió las actualizaciones opcionales de Windows 10 y Windows Server que no correspondieran a tareas de seguridad.

Esperemos que el acuerdo para eliminar el soporte a TLS 1.0 y 1.1 se mantenga porque son versiones del protocolo ampliamente inseguras y un problema para todo Internet.

La entrada COVID-19 obliga a los proveedores de navegadores a continuar admitiendo TLS 1.0 es original de MuySeguridad. Seguridad informática.