Nejmodernější šifrování, ale komplikace pro starší PC
02.06.2022, Kamil Malát |
Web Svazu včetně všech dalších služeb (Plemenná kniha, webKUMP, MaSkot) doznal v uplynulých dnech důležité modernizace v šifrování. "Opravdová bezpečnost se nepozná jen podle toho zámečku v prohlížeči, nicméně jdeme s dobou" shrnul pro méně znalé uživatele správce webu Jan Čepelák docela složité téma nasazení šifrovacího protokolu TLS 1.3. Změna je pro drtivou většinu uživatelů téměř neviditelná, přesto může způsobit obtíže uživatelům velmi starých PC a některých starých telefonů. Naštěstí, i v takovém případě jsme se rozhodli uživatelům vyjít vstříc: "Nezachováme se jako banky, které Vás prostě pošlou koupit si nový telefon" připojil dále tvůrce webu.
Pokud patříte mezi takové uživatele, kterým se moderní šifrování webu ve starém PC projeví jako zcela nefunkční web ve Vašem prohlížeči/telefonu, nebo o někom takovém víte, alternativně můžete využít tyto náhradní adresy nebo to takovému uživateli poradit:
• web ČSCHMS
http://stary.cschms.cz
• Plemenná kniha
http://stary.db.cschms.cz
• webKUMP
http://stary.kump.cschms.cz
• MaSkot
http://stary.maskot.cschms.cz
Technické detaily:
(aneb rychlý přehled pro ty, kteří to nechtějí s bezpečností vzdát s výše uvedenými náhradními odkazy)
Webový server podporuje nejnovější protokol TLS 1.3 a dále TLS 1.2, která je nejstarší podporovanou alternativou pro kterou je však podpora řady starých SW produktů již omezená. Dalšími okolnostmi je způsob podepisování certifikátů od autority Lets Encrypt i způsob jejiho zavedení (a "bočního podepsání"), tudíž může nastat velmi široká paleta situací, ta se však dotýká jen mizivého procenta návštěvníků někde na hraně podpory. Pro zjednodušení lze celou problematiku shrnout takto:
Windows XP (i v nejnovějším aktualizovaném stavu z r. 2014, platí pro Internet Explorer 6-8) je zcela bez možnosti použít TLS 1.2, pro uživatele Windows XP tak zbývá (kromě nešifrované verze) jediná možnost v podobě prohlížeče Firefox (podrobněji níže)
Windows Vista rovněž nevládne ani v nejnovějším Internet Explorer 9 potřebným TLS 1.2, jedinou možností zůstává opět Firefox (viz níže)
Windows 7 - zde je situace významně lepší. Pokud hodláte používat zabudovaný Internet explorer, musí mít aktualizován až na nejnovější IE11 a je nutné upozornit, že Windows 7 z prvního vydání potřebnou podporu měl, ale na vyžádání/ruční zapnutí. K plošnému zapnutí této funkce všem pak došlo v aktualizaci KB3140245, která vyšla 6/2016, tudíž pokud jste nevypnuli automatické aktualizace hned po nákupu PC někdy v roce 2015 (a jakkoliv je Win7 dobře funkční, stále bezpečný a vyladěný OS, pořád není dobré provozovat na internet připojený počítač bez ochrany), bude to jednoduše fungovat bez potíží na všech prohlížečích.
Poznámka k prohlížečům starších Windows:
Internet Explorer, ale i Google Chrome se "opírají" o šifrování OS Windows, tudíž základní podmínkou je Windows určité minimální verze (v praxi Windows 7 po 2/2016) a dále prohlížeč dostatečně nový (Internet Explorer 11 nebo Chrome 29, vydaný 8/2013).
Na druhou stranu, prohlížeč Firefox jako jediný z majoritních prohížečů si... laicky řečeno šifrování odpracoval sám za sebe. Počínaje verzí 27 (2/2014) můžete nové šifrování používat bez ohledu na Windows (tedy klidně i s Windows XP), v praktickém žití došlo dále 9/2021 ke změnám u certifikační autority Lets Encrypt, tudíž je vyžadována verze 50 a vyšší. Poslední verze vydaná 6/2018 pro Windows XP s prodlouženou podporou měla číslo 52.9.0esr, tudíž bezproblémový provoz Firefoxu na WinXP je nadále možný (odkaz na archiv Mozilla Firefoxu této verze zde.)
Podpora na telefonech Android:
Oficiálně je podpora TLS 1.2 přiznána od verze 2.3.6, což jsou velmi ranné začátky chytrých telefonů (r. 2010), ale tato podpora se v praxi velmi rozcházela u každého z výrobců. V kombinaci s nedávnou změnou autority Lets Encrypt se ale situace zkomplikovala a jistotu funkčnosti máte až od Androidu 7.1.1, což jsou telefony z přelomu let 2016/2017. Přimyslíme-li si, že nejeden operátor/eshop mohl takové telefony jako trochu starší modely prodávat ještě i v roce 2018, přibližujeme se už době docela nedávné. Vše mezi roky 2010 - 2017 je tedy nejsitá zóna, kde záleží na výrobci, telefonu i prohlížeči v něm. Pro praktickou informaci laikům lze problém nepřesně zjednodušit na konstatování, že většina telefonů s Android 5 a vyšší (v prodeji r. 2015 dál) a správným prohlížečem (Firefox, příp. Chrome) to pravděpodobně bude funkční a s telefony Androidu 4.4 (2014 a starší) to zprovozní jen opravdový fajnšmekr.
Podpora v iOS (Apple)
Zatímco obecná podpora šifrování TLS 1.2 zahrnovala i operační systém iOS 5+ (iPhone 3GS, iPhone 4, ....) změny v CA v nedávné době (9/2021) způsobili, že minimální verze iOS je iOS 10 a pozdější. V praxi očekávejte zcela určitě bezproblémový provoz na iPhonech 7 a novějších (září 2016), možná je i funkčnost na iPhone 4, iPhone 5 a iPhone 6 podle toho, jak máte aktualizovaný systém.
Pokud patříte mezi takové uživatele, kterým se moderní šifrování webu ve starém PC projeví jako zcela nefunkční web ve Vašem prohlížeči/telefonu, nebo o někom takovém víte, alternativně můžete využít tyto náhradní adresy nebo to takovému uživateli poradit:
• web ČSCHMS
http://stary.cschms.cz
• Plemenná kniha
http://stary.db.cschms.cz
• webKUMP
http://stary.kump.cschms.cz
• MaSkot
http://stary.maskot.cschms.cz
Technické detaily:
(aneb rychlý přehled pro ty, kteří to nechtějí s bezpečností vzdát s výše uvedenými náhradními odkazy)
Webový server podporuje nejnovější protokol TLS 1.3 a dále TLS 1.2, která je nejstarší podporovanou alternativou pro kterou je však podpora řady starých SW produktů již omezená. Dalšími okolnostmi je způsob podepisování certifikátů od autority Lets Encrypt i způsob jejiho zavedení (a "bočního podepsání"), tudíž může nastat velmi široká paleta situací, ta se však dotýká jen mizivého procenta návštěvníků někde na hraně podpory. Pro zjednodušení lze celou problematiku shrnout takto:
Windows XP (i v nejnovějším aktualizovaném stavu z r. 2014, platí pro Internet Explorer 6-8) je zcela bez možnosti použít TLS 1.2, pro uživatele Windows XP tak zbývá (kromě nešifrované verze) jediná možnost v podobě prohlížeče Firefox (podrobněji níže)
Windows Vista rovněž nevládne ani v nejnovějším Internet Explorer 9 potřebným TLS 1.2, jedinou možností zůstává opět Firefox (viz níže)
Windows 7 - zde je situace významně lepší. Pokud hodláte používat zabudovaný Internet explorer, musí mít aktualizován až na nejnovější IE11 a je nutné upozornit, že Windows 7 z prvního vydání potřebnou podporu měl, ale na vyžádání/ruční zapnutí. K plošnému zapnutí této funkce všem pak došlo v aktualizaci KB3140245, která vyšla 6/2016, tudíž pokud jste nevypnuli automatické aktualizace hned po nákupu PC někdy v roce 2015 (a jakkoliv je Win7 dobře funkční, stále bezpečný a vyladěný OS, pořád není dobré provozovat na internet připojený počítač bez ochrany), bude to jednoduše fungovat bez potíží na všech prohlížečích.
Poznámka k prohlížečům starších Windows:
Internet Explorer, ale i Google Chrome se "opírají" o šifrování OS Windows, tudíž základní podmínkou je Windows určité minimální verze (v praxi Windows 7 po 2/2016) a dále prohlížeč dostatečně nový (Internet Explorer 11 nebo Chrome 29, vydaný 8/2013).
Na druhou stranu, prohlížeč Firefox jako jediný z majoritních prohížečů si... laicky řečeno šifrování odpracoval sám za sebe. Počínaje verzí 27 (2/2014) můžete nové šifrování používat bez ohledu na Windows (tedy klidně i s Windows XP), v praktickém žití došlo dále 9/2021 ke změnám u certifikační autority Lets Encrypt, tudíž je vyžadována verze 50 a vyšší. Poslední verze vydaná 6/2018 pro Windows XP s prodlouženou podporou měla číslo 52.9.0esr, tudíž bezproblémový provoz Firefoxu na WinXP je nadále možný (odkaz na archiv Mozilla Firefoxu této verze zde.)
Podpora na telefonech Android:
Oficiálně je podpora TLS 1.2 přiznána od verze 2.3.6, což jsou velmi ranné začátky chytrých telefonů (r. 2010), ale tato podpora se v praxi velmi rozcházela u každého z výrobců. V kombinaci s nedávnou změnou autority Lets Encrypt se ale situace zkomplikovala a jistotu funkčnosti máte až od Androidu 7.1.1, což jsou telefony z přelomu let 2016/2017. Přimyslíme-li si, že nejeden operátor/eshop mohl takové telefony jako trochu starší modely prodávat ještě i v roce 2018, přibližujeme se už době docela nedávné. Vše mezi roky 2010 - 2017 je tedy nejsitá zóna, kde záleží na výrobci, telefonu i prohlížeči v něm. Pro praktickou informaci laikům lze problém nepřesně zjednodušit na konstatování, že většina telefonů s Android 5 a vyšší (v prodeji r. 2015 dál) a správným prohlížečem (Firefox, příp. Chrome) to pravděpodobně bude funkční a s telefony Androidu 4.4 (2014 a starší) to zprovozní jen opravdový fajnšmekr.
Podpora v iOS (Apple)
Zatímco obecná podpora šifrování TLS 1.2 zahrnovala i operační systém iOS 5+ (iPhone 3GS, iPhone 4, ....) změny v CA v nedávné době (9/2021) způsobili, že minimální verze iOS je iOS 10 a pozdější. V praxi očekávejte zcela určitě bezproblémový provoz na iPhonech 7 a novějších (září 2016), možná je i funkčnost na iPhone 4, iPhone 5 a iPhone 6 podle toho, jak máte aktualizovaný systém.