¿Cuáles son las prácticas recomendadas para configurar el inicio falso de TLS en Chrome?

1 ¿Qué es el inicio falso de TLS y cómo funciona?

TLS, o Transport Layer Security, es un protocolo que cifra y autentica la comunicación entre un navegador y un servidor. Consta de dos fases: el apretón de manos y el intercambio de datos. El protocolo de enlace es donde el navegador y el servidor acuerdan los parámetros de cifrado, como el conjunto de cifrado, el método de intercambio de claves y los certificados. El intercambio de datos es donde el navegador y el servidor envían y reciben los datos reales de la aplicación, como páginas web, imágenes o scripts.

El inicio falso de TLS es una característica que permite al navegador omitir el último viaje de ida y vuelta del protocolo de enlace y comenzar a enviar datos de la aplicación justo después de recibir el mensaje terminado del servidor. Esto puede ahorrar hasta un 30% del tiempo necesario para establecer una conexión segura, especialmente para solicitudes de corta duración o sensibles a la latencia. Sin embargo, también significa que el navegador no espera a que el servidor verifique su mensaje terminado, lo que podría exponerlo a algunos ataques, como la renegociación o el truncamiento.

2 ¿Cómo habilitar o deshabilitar el inicio falso de TLS en Chrome?

Chrome admite el inicio falso de TLS de forma predeterminada, pero también proporciona algunas opciones para habilitarlo o deshabilitarlo manualmente. Puedes usar los siguientes indicadores para controlar el comportamiento del inicio falso de TLS en Chrome:

-

--enable-tls13-early-data        

: este indicador habilita el inicio falso de TLS para las conexiones TLS 1.3, que utilizan un nuevo mecanismo denominado datos anticipados para enviar datos de la aplicación antes de que se complete el protocolo de enlace. Esta marca está habilitada de forma predeterminada en Chrome 86 y versiones posteriores.

-

--ssl-false-start        

: este indicador habilita el inicio falso de TLS para TLS 1.2 y conexiones inferiores, que utilizan la característica estándar de inicio falso de TLS. Esta marca está habilitada de forma predeterminada en Chrome, pero es posible que algunas políticas o extensiones empresariales la inhabiliten.

-

--disable-ssl-false-start        

: este indicador deshabilita el inicio falso de TLS para todas las conexiones, independientemente de la versión de TLS. Este indicador puede ser útil para fines de depuración o prueba, o para usuarios que prefieren sacrificar algo de rendimiento por más seguridad.

Puedes añadir estas banderas al acceso directo o a la línea de comandos de Chrome, o utilizar la página chrome://flags para acceder a ellas.

3 ¿Cuáles son los beneficios y desventajas del falso inicio de TLS en Chrome?

El inicio falso de TLS en Chrome puede ofrecer algunos beneficios e inconvenientes, dependiendo del contexto y el escenario. Los tiempos de carga de página más rápidos, la experiencia de usuario mejorada y la utilización más eficiente de los recursos son algunas de las ventajas del inicio falso de TLS. Sin embargo, también pueden surgir problemas de compatibilidad, compensaciones de seguridad y problemas de privacidad. El inicio falso de TLS puede reducir el tiempo necesario para establecer una conexión segura en un viaje de ida y vuelta, lo que puede traducirse en tiempos de carga de página más rápidos para los sitios web que usan HTTPS o HSTS. Además, puede hacer que las páginas web sean más interactivas y receptivas. Además, puede reducir la sobrecarga de la red y el uso de la CPU al enviar datos de la aplicación antes y evitar apretones de manos innecesarios. Por otro lado, es posible que el inicio falso de TLS no funcione con algunos servidores o intermediarios que no lo admiten o esperan un protocolo de enlace completo antes de recibir los datos de la aplicación. Esto podría provocar errores de conexión o tiempos de espera. Además, puede exponer al navegador a ataques que explotan la falta de verificación del mensaje terminado, como ataques de renegociación o truncamiento. Por último, puede revelar información sobre el navegador o el usuario al servidor o a un observador antes de que se establezca la conexión, como agente de usuario, cookies o URL solicitada.

4 ¿Cómo probar y solucionar problemas de inicio falso de TLS en Chrome?

Si quieres probar o solucionar problemas de inicio falso de TLS en Chrome, puedes usar una variedad de herramientas y métodos para supervisar y analizar el comportamiento y el rendimiento de tus aplicaciones web. Por ejemplo, Chrome DevTools se puede utilizar para inspeccionar la actividad de la red y los detalles de seguridad, como el momento y el tamaño de las solicitudes / respuestas, la versión de TLS y el conjunto de cifrado utilizado, así como la información de certificados y protocolos. Además, SSL Labs se puede utilizar para evaluar la seguridad y la compatibilidad de los servidores web, revelando versiones / características de TLS compatibles, conjuntos de cifrado / métodos de intercambio de claves, vulnerabilidades / advertencias y cómo manejan los datos de inicio falso / primeros de TLS. Por último, Wireshark permite capturar / analizar el tráfico de red / paquetes TLS, observando detalles / contenido de cada paquete, fases de protocolo de enlace / intercambio de datos, banderas / mensajes de cada conexión; Los filtros/estadísticas también se pueden utilizar para centrarse en aspectos o cuestiones de la actividad de la red.

5 ¿Cómo optimizar el inicio falso de TLS en Chrome?

Si desea optimizar el inicio falso de TLS en Chrome, puede seguir algunas prácticas recomendadas y recomendaciones para mejorar la velocidad y la seguridad de sus aplicaciones web. Se debe usar TLS 1.3 o superior, ya que reduce el número de viajes de ida y vuelta para el apretón de manos de dos a uno e introduce características como datos tempranos y secreto hacia adelante. También se deben usar conjuntos de cifrado compatibles, como ECDHE o DHE, que generan claves efímeras para cada sesión, en lugar de claves estáticas como RSA o PSK. Finalmente, se deben usar servidores e intermediarios confiables que sean compatibles con el inicio falso TLS y los datos tempranos, o configurados adecuadamente para manejarlos.

6 Esto es lo que más debe considerar

Este es un espacio para compartir ejemplos, historias o ideas que no encajan en ninguna de las secciones anteriores. ¿Qué más le gustaría añadir?