Deshabilita protocolos SSL y TLS antiguos para navegar seguro

Hay protocolos de Internet que eran muy necesarios hace unos años para poder navegar, pero que con el paso del tiempo se han convertido en inseguros y obsoletos. Es lo que ocurre con los protocolos SSL 3.0, TLS 1.0 y TLS 1.1. Poco a poco la mayoría de navegadores los ha ido descartando, pero algunos siguen habilitados de forma predeterminada en Windows. En este artículo vamos a explicar cómo podemos deshabilitarlos tanto en los navegadores como en el propio sistema.

Por qué deshabilitar protocolos obsoletos

Puede que te preguntes por qué es importante deshabilitar este tipo de protocolos aunque no los vayas a usar. Lo cierto es que los piratas informáticos pueden aprovecharse de que los tengamos habilitados para lanzar ataques. A fin de cuentas son protocolos antiguos, que están totalmente desactualizado y que cuentan con vulnerabilidades.

Si usamos un navegador que tenga habilitado TLS 1.0, por ejemplo, podríamos ser víctimas de ataques POODLE, que se aprovechan de ello. Esta amenaza supone ataques Man-in-the-Middle que pueden aprovecharse de las vulnerabilidades de los protocolos SSL y TLS para robar datos y contraseñas. Es uno de los problemas en caso de acceder a sitios inseguros, que no estén realmente protegidos.

Al entrar en un sitio web que esté cifrado por TLS 1.0, podríamos estar poniendo en riesgo nuestros datos. Realmente no son seguros con los estándares actuales, pese a que hace unos años, antes de que este protocolo quedara obsoleto, sí eran considerados como sitios seguros.

Para evitar este tipo de problemas es interesante deshabilitar estos protocolos. Esto es algo que podemos hacer en los principales navegadores, aunque en muchos ya vienen deshabilitados por defecto, pero también en el propio sistema operativo de Windows, algo que protegerá las conexiones. También, si realmente necesitáramos que estuvieran habilitados, podemos configurarlo para ello desde el sistema.

Pasos para quitar TLS 1.0 y TLS 1.1 en Windows

Tanto si utilizas Windows 10 como Windows 11, puede que quieras deshabilitar alguna versión de estos protocolos. Eso sí, no son casos iguales como vamos a ver. En el caso de Windows 10, de forma predeterminada vienen habilitados los protocolos TLS 1.0 y 1.1, mientras que en Windows 11 esto no es así, aunque podríamos tenerlos habilitados si hemos cambiado la configuración.

En el caso de Windows 10, tenemos que ir a Inicio, buscamos Opciones de Internet y vamos a Opciones avanzadas y allí buscamos la sección Seguridad. Veremos los diferentes protocolos y una casilla para habilitar o deshabilitar. De forma predeterminada, SSL 3.0 viene desactivado, pero no así TLS 1.0 y TLS 1.1, que igualmente son obsoletos.

Para deshabilitar TLS 1.0 y TLS 1.1 simplemente habría que desmarcar la casilla y aplicar los cambios. Si por el motivo que sea tenemos habilitado SSL 3.0, también deberíamos desmarcarlo si queremos tener la máxima seguridad. Es posible que en algún momento lo hayamos activado para utilizarlo, pero no conviene tenerlo así si queremos potenciar la seguridad.

Respecto a Windows 11 la cosa cambia. Aunque el proceso para habilitar o deshabilitar estos protocolos es el mismo, en la última versión del SO de Microsoft ya vienen deshabilitadas de forma predeterminada las versiones más problemáticas. No obstante, vamos a explicar también cómo hacerlo.

Basta con ir a Inicio, entramos en Opciones de Internet, vamos a Seguridad y allí veremos los protocolos activados. Si por algún motivo necesitáramos habilitar TLS 1.1 (aunque no es aconsejable), tan solo tendríamos que habilitar la casilla. Lo mismo con el resto, ya sea activarlos o quitarlos. El procedimiento es similar a la versión anterior del sistema operativo.

También podemos usar el Editor del Registro. Tenemos que ir a la ruta EquipoHKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocols y allí encontraremos TLS 1.0 o TLS 1.1 y la clave de registro. Para deshabilitarlo tenemos que cambiar el valor a 0, mientras que habilitarlo habría que ponerlo en el valor 1 y guardar los cambios realizados.

Si no aparece nada, podemos crear una nueva clave. Hay que hacer clic con el botón derecho del ratón, pinchamos en Nuevo>Valor DWORD (32 bits) y le damos el nombre de TLS 1.0. Ahí tenemos que poner el valor en 0 o 1, según si queremos habilitarlo o deshabilitarlo.

Cómo quitar protocolos obsoletos en el navegador

En este caso es diferente según qué navegador utilicemos. Hay que tener en cuenta que Google Chrome desde hace tiempo deshabilitaron de forma predeterminada algunos de los protocolos obsoletos. Por seguridad, no permite activarlos y viene de forma predeterminada TLS 1.2. Sí podemos habilitar TLS 1.3.

Para habilitar TLS 1.3 en Google Chrome tenemos que ejecutar chrome://flags/ en la barra de direcciones y buscamos TLS. Veremos la opción de TLS 1.3 Early Data y vendrá como Default. Lo que haremos es darle a Enabled. Posteriormente aplicamos los cambios y reiniciamos el navegador.

¿Qué ocurre con Mozilla Firefox? En este caso es diferente. Hay que entrar en about:config y allí buscar TLS. Veremos security.tls.version.min. Eso es para configurar a partir de qué versión del protocolo TLS va a funcionar el navegador. Si ponemos “2” en el valor, significa que va a habilitar a partir de TLS 1.1. Si ponemos “3”, será a partir de la versión 1.2.

De esta forma podremos deshabilitar el protocolo TLS 1.1 si ponemos el valor “3”, ya que solo funcionará a través de TLS 1.2 y superiores. Es una manera sencilla para habilitar o deshabilitar las diferentes versiones. No obstante, siempre debemos ser conscientes del riesgo de seguridad si tenemos habilitados protocolos antiguos, que estén obsoletos.

En el caso de Microsoft Edge, tendríamos que ir a la configuración de Windows y allí habilitar los protocolos que queramos. No cuenta con una característica propia para hacerlo.

Conclusiones

Podemos decir que los protocolos TLS 1.0 y TLS 1.1 han quedado totalmente obsoletos en los navegadores, pero eso no significa que todavía haya algunos sitios web que sean compatibles con ellos. ¿Debemos tener habilitadas estas versiones antiguas, que podrían ser un problema de seguridad? Sin duda lo mejor es desactivarla. Puede ser utilizado por parte de un pirata informático para lanzar sus ataques, como lo que se conoce como POODLE.

Hemos visto los pasos que debemos dar tanto en Windows 10 como en Windows 11 para deshabilitar protocolos TLS obsoletos e incluso SSL 3.0. También podemos habilitarlos fácilmente, pero esto solo deberíamos hacerlo si estamos seguros de que no vamos a tener ningún problema.

El artículo Deshabilita protocolos SSL y TLS antiguos para navegar seguro se publicó en RedesZone.