Configuración de SSL/TLS

Esta sección describe cómo configurar sus preferencias SSL/TLS.

Preferencias de privacidad y seguridad - SSL/TLS

Esta sección describe cómo utilizar el panel de preferencias SSL/TLS. Si no está viendo el panel, siga estos pasos:

1. Abra el menú &brandShortName; Editar y elija Preferencias.
2. Bajo la categoría Privacidad y seguridad, escoja la subcategoría SSL/TLS. Si no aparece ninguna subcategoría, haga doble clic en Privacidad y seguridad para expandir la lista.

Versiones del protocolo SSL/TLS

El protocolo Capa de Conexiones Seguras (SSL) y su sucesor, el protocolo Seguridad de la Capa de Transporte (TLS) son estándares que definen las reglas que dirigen la identificación mutua entre un sitio web y un navegador web y el cifrado de información que fluye entre ellos. También se usan para comunicaciones seguras en varios protocolos más, p.e., para la protección de información confidencial intercambiada con servidores de correo electrónico, calendario o directorio.

Los protocolos SSL 2.0 y SSL 3.0 son inseguros y por ello desaprobados. El protocolo actual TLS se basa en SSL pero con su propia numeración de versiones. TLS 1.0 puede ser considerado equivalente a SSL 3.1, TLS 1.1 es a su vez una actualización de TLS 1.0, etc. Los protocolos más recientes se prefieren a los más antiguos, ya que proporcionan mejor seguridad y más características. Los protocolos más antiguos se admiten para asegurar la compatibilidad.

Por defecto, &brandShortName; seleccionará la versión más segura admitida con carácter general para conectar al servidor. Si ese intento no tiene éxito, intentará conectar con la versión inmediatamente anterior, y así sucesivamente hasta donde le permitan las opciones establecidas en el panel. La conexión fallará si no se encuentra ningún protocolo admitido por ambas partes. Puede excluir las versiones más antiguas explícitamente, o permitir versiones más modernas que pueden no estar admitidas ampliamente aún, con las siguientes opciones:

• Activar: marque las casillas TLS 1.0, TLS 1.1, TLS 1.2 y/o TLS 1.3 para indicar qué versiones del protocolo se pueden usar para una conexión segura al servidor.

Notas:

• Debe seleccionarse al menos una versión del protocolo, por lo que no es posible desmarcar la última casilla marcada.
• Además, la selección debe ser consecutiva. No es posible seleccionar TLS 1.0 y TLS 1.2 pero excluir la versión intermedia TLS 1.1.
• Puede extender el rango en múltiples versiones. Por ejemplo, si sólo está marcada TLS 1.0 y se selecciona TLS 1.2, se seleccionará también automáticamente la versión TLS 1.1.
• Las casillas pueden aparecer marcadas pero desactivadas si no se pueden desmarcar sin violar estas reglas. Desmarque las casillas de los extremos para poder acceder a las versiones intermedias.

Advertencias SSL/TLS

Es fácil saber cuándo el servidor web que se está visitando utiliza una conexión cifrada. Si la conexión está cifrada, el candado en la esquina inferior derecha del navegador estará cerrado (). Si la conexión no está cifrada, el candado permanecerá abierto (). Las páginas cifradas que contienen algunos elementos no cifrados (contenido mezclado) se muestran con el icono de un candado roto ().

Si usted desea advertencias adicionales, puede seleccionar una o más de las casillas de advertencia en el panel de preferencias SSL/TLS. A menos que se indique lo contrario, se presentará una barra de notificación en la parte superior de la página que ha provocado el aviso, con una opción para entrar en este panel para cambiar la opción si el aviso se considera molesto.

Para activar cualquiera de estas advertencias, seleccione la casilla correspondiente:

• Cargar una página que implementa cifrado: seleccione esta advertencia si desea ser advertido siempre que cargue una página que implementa cifrado.
• Abandonar una página que implementa cifrado: seleccione esta advertencia si quiere ser advertido siempre que vaya a abandonar una página que implemente cifrado para dirigirse a una que no lo implemente.
• Enviar datos de un formulario desde una página sin cifrar a otra sin cifrar: seleccione esta advertencia si quiere ser advertido siempre que vaya a enviar datos a través de una conexión no cifrada. Cuando se selecciona esta opción, se presenta un cuadro de diálogo antes de que se abra la página, lo que permite que se cancele la carga de la misma antes de que se envíe cualquier información potencialmente confidencial bajo una conexión no cifrada que pueda ser fácilmente interceptada por otros.

  Nota: enviar un formulario desde una página cifrada a una no cifrada siempre provocará que se muestre un diálogo antes de abrir la página, con independencia del valor de esta opción.

Contenido mezclado

En general, hay dos cuestiones principales relacionadas con la transmisión de información confidencial a través de conexiones no cifradas: una es el peligro de que alguien tenga pinchada la línea, por tanto escuchando el contenido transmitido; el otro es que alguien intercepte las solicitudes de la página deseada y reemplace el contenido legítimo de esa página por el suyo propio (potencialmente malicioso). Aunque estos ataques, conocidos como Homre interpuesto (Man In The Middle), pueden ser detectados normalmente en las conexiones cifradas (p.e. por la discrepancia en el certificado o que este no sea válido), tal verificación no existe en el caso de las conexiones no cifradas.

El término Contenido mezclado se refiere a una página web que está cifrada en sí misma, pero que incluye contenido en el mismo servidor o en uno diferente que no está cifrado. En consecuencia, esta parte de la página está sujeta a las vulnerabilidades de una línea no cifrada. Si bien pueden existir usos legítimos de este concepto (tal como incluir el logo de una compañía desde un sitio web no seguro en otra página distinta segura), tales diseños deberían evitarse.

Hay dos tipos generales de contenido mezclado:

• Contenido mezclado activo (o contenido mezclado de scripts): este es contenido que tiene el potencial de ocultar o modificar partes de una página web, o de filtrar de manera activa contenido de la parte segura de la página a su parte no segura. Los ejemplos incluyen scripts (JavaScript), hojas de estilo (CSS), o la inclusión de páginas web completas en la página principal (iframes).
• Contenido mezclado pasivo (o contenido mezclado visual): este tipo de contenido no tiene el potencial de alterar o monitorizar la página web como tal. Los ejemplos incluyen imágenes y flujos de audio o vídeo. Sin embargo, es posible que se pase información confidencial a través de la dirección del contenido (URL), como cookies o devuelto con el propio contenido (p.e., como texto incluido en una imagen). Por ello, el contenido pasivo tampoco es totalmente inocuo.

Las siguientes opciones le permiten ser avisado sobre el contenido mezclado activo y pasivo, así como bloquearlo:

• Advertirme cuando las páginas cifradas contengan contenido no seguro: marque esta casilla para indicar a &brandShortName; que presente una barra de notificación cuando se cargue o bloquee contenido mezclado activo. La barra de notificaciones contiene un botón para abrir este panel de preferencias.
• No cargar contenido no seguro en páginas cifradas: marque esta casilla para evitar por completo que se cargue contenido mezclado activo. Si también está marcada la opción Advertirme, la barra de notificación contendrá dos botones adicionales:
  • Seguir bloqueando: elimina la barra de notificación sin cargar el contenido potencialmente inseguro.
  • Desbloquear: carga el contenido potencialmente inseguro una sola vez pero no automáticamente cuando esta página sea visitada de nuevo en el futuro.
  Nota: la selección Desbloquear para un sitio específico puede revocarse en la pestaña Permisos del administrador de datos. Cuando se encuentra en una ventana privada, estas opciones no están disponibles en la barra de notificaciones.
• Advertirme cuando las páginas cifradas contengan otros tipos de contenido mezclado: marque esta casilla para indicar a &brandShortName; que presente una barra de notificación cuando se cargue o bloquee contenido mezclado pasivo. La barra de notificación contendrá un botón para abrir este panel de preferencias.
• No cargar otros tipos de contenido mezclado en páginas cifradas: marque esta casilla para evitar por completo que se cargue contenido mezclado pasivo. Si también está marcada la opción Advertirme, se presenta una notificación de que se ha bloqueado ese contenido.

Para ver definiciones breves, pulse identificación, cifrado, o certificado.

Para más información sobre cifrados y criptografía, vea los siguientes documentos en línea (en inglés):

• Introducción a la criptografía de clave pública.
• Introducción a SSL.
• Tecnologías disponibles en los servicios de seguridad de red (NSS).