مايكروسوفت وجوجل تتعاملان مع بروتوكولات TLS القديمة

تخطط Microsoft لتعطيل الإصدارات الأقدم من بروتوكول Transport Layer Security (TLS)، وهو تشفير الاتصالات الشامل المستخدم لحماية المعلومات المرسلة عبر الشبكات والإنترنت. بينما ستتمكن الشركات والمستخدمون من إعادة تمكين البروتوكولات إذا كانوا بحاجة إلى التوافق مع الإصدارات السابقة لمواصلة استخدام تطبيق مهمذكرت Microsoft في. أنه يتعين على الشركات ترحيل أنظمتها إلى TLS v1.2 أو 1.3 أحدث توجيهاتها.

بدءًا من هذا الشهر، ستقوم الشركة بتعطيل TLS v1.0 وv1.1 افتراضيًا في Windows 11 Insider Preview، يليه إلغاء تنشيط واسع النطاق في إصدارات Windows المستقبلية.

"على مدى السنوات العديدة الماضية، قامت معايير الإنترنت والهيئات التنظيمية بإهمال أو عدم السماح بإصداري TLS 1.0 و1.1، وذلك بسبب مجموعة متنوعة من المشكلات الأمنية،" Microsoft جاء في استشارة أخرى. "لقد قمنا بتتبع استخدام بروتوكول TLS لعدة سنوات ونعتقد أن بيانات استخدام TLS 1.0 وTLS 1.1 منخفضة بما يكفي للعمل."

يأتي التبديل المخطط له بعد ستة أشهر من اقتراح Google ومشروع Chromium التابع لها بضرورة وجود شهادات TLS الحد الأقصى لعمر 90 يومًا ، أقل من ربع الحد الأقصى الحالي لفترة الصلاحية البالغة 398 يومًا.

أصبح بروتوكول أمان طبقة النقل (TLS) - وسابقه، طبقة المقابس الآمنة (SSL) - الطريقة القياسية لحماية البيانات أثناء النقل على الإنترنت. ومع ذلك، فإن نقاط الضعف في SSL والإصدارات السابقة من TLS دفعت شركات ومنظمات التكنولوجيا، مثل مؤسسة Mozilla، إلى الضغط من أجل اعتماد إصدارات TLS الأكثر أمانًا. إن الضغط من أجل انتهاء صلاحية شهادات TLS بشكل أسرع سيدفع الشركات أيضًا إلى أتمتة البنية التحتية للشهادات الخاصة بها، مما يؤدي إلى تحسين المرونة الأمنية، حسبما ذكر مشروع Chromium في اقتراح مارس لتقليل عمر الشهادة.

وذكرت المجموعة أن "تقليل عمر الشهادة يشجع على الأتمتة واعتماد الممارسات التي من شأنها أن تدفع النظام البيئي بعيدًا عن عمليات الإصدار الباروكية والمستهلكة للوقت والمعرضة للأخطاء". "ستسمح هذه التغييرات بتبني القدرات الأمنية الناشئة وأفضل الممارسات بشكل أسرع، وتعزيز المرونة المطلوبة لنقل النظام البيئي إلى خوارزميات مقاومة للكم بسرعة."

حان الوقت للانتقال إلى TLS 1.3

يجب على الشركات أولاً جرد نقاط نهاية TLS الخاصة بها، وجمع الشهادات الخاصة بها، وتحديد المكونات التقنية الأخرى. نظرًا للاتجاه نحو عمر أقصر للشهادات، فإن الإدارة الآلية للمفاتيح والشهادات مطلوبة، كما يقول Muralidharan Palanisamy، كبير مسؤولي الحلول في AppViewX.

يقول: "يمكن للحل الآلي إجراء فحص مستمر لبيئاتك الهجينة متعددة السحابة ليمنحك رؤية لأصول التشفير الخاصة بك والحفاظ على مخزون محدث للعثور على الشهادات منتهية الصلاحية والضعيفة". "تتيح أتمتة إدارة دورة حياة الشهادة الكاملة إمكانية إعادة توفير الشهادات وتجديدها تلقائيًا وإبطالها."

الانتقال إلى TLS 1.3 قيد التنفيذ بالفعل. أكثر من واحد من كل خمسة خوادم (21%) يستخدم TLS 1.3، وفقًا لـ AppViewX تقرير يعتمد على عمليات المسح على الإنترنت. يقول Palanisamy إن التقنية الأحدث تتمتع بمزايا أداء هائلة مع عدم وجود عمليات تبادل رئيسية لوقت ذهابًا وإيابًا وأمان أقوى من TLS 1.2، مما يوفر سرية أمامية مثالية (PFS).

تستخدم العديد من المؤسسات TLS 1.2 داخليًا وتستخدم TLS 1.3 خارجيًا.

إن الانتقال إلى مثل هذا التشفير في كل مكان لا يخلو من سلبياته. يجب على المؤسسات أن تتوقع أنه - مدفوعًا بالاعتماد الواسع النطاق لـ TLS 1.3 و DNS-over-HTTPS - لن يكون من الممكن فحص حركة مرور الشبكة في المستقبل، حسبما ذكر ديفيد هولمز، المحلل الرئيسي في شركة Forrester Research، في تقرير عن الحفاظ على الرؤية الأمنية في المستقبل المشفر.

وكتب هولمز: "مع اكتساب هذه التغييرات زخمًا، ستصبح أدوات المراقبة الأمنية غير قادرة على رؤية محتويات ووجهة حركة المرور ولن تكون قادرة على اكتشاف التهديدات". "ستكون الشبكة أكثر قتامة مما كانت عليه في أي وقت مضى. ويعمل كل من ممارسي الأمن ومجتمعات البائعين على إنشاء حلول يمكنها إعادة الرؤية إلى الشبكة."

القلطي، وHeartbleed، والسلالات النادرة الأخرى

بشكل عام، تمثل ثغرات TLS تهديدًا مقصورًا على فئة معينة إلى حد ما، مع وجود العديد من نقاط الضعف النظرية ولكن القليل من الهجمات التي يتم مشاهدتها في البرية، وفقًا لهولمز. نادرًا ما يستهدف المهاجمون مشكلات TLS، لأن مهاجمة البنية التحتية للتشفير معقدة للغاية بشكل عام، وتتطلب قدرًا كبيرًا من التعقيد.

ومع ذلك، عند العثور على ثغرة أمنية، يمكن أن تكون الآثار واسعة النطاق، لأن البنية التحتية لتشفير TLS موجودة في كل مكان. وفي عام 2014، تم اكتشاف ثغرة Heartbleed سيئة السمعة في مكتبة OpenSSL أدى إلى سباق لتصحيح الخوادم الرئيسية قبل أن يتمكن المهاجمون من استغلال المشكلة لسرقة البيانات الحساسة من الخوادم. وفي العام نفسه، سمح اكتشاف ثغرة أمنية في الإصدار 3.0 من طبقة المقابس الآمنة (SSL) بهجوم الآلة في الوسط - والمثال الأكثر شهرة هو رمز إثبات المفهوم المدبلج هجوم أوراكل الحشو على التشفير القديم المنخفض (POODLE)..

يقول هولمز: "كان هجوم POODLE بمثابة ثغرة أمنية حرجة في SSLv3 - مقدمة TLS 1.0 - وقد أدى اكتشافه إلى تعطيل الإنترنت لهذا البروتوكول بشكل أساسي بين عشية وضحاها - في غضون أشهر، وهو أمر سريع بشكل صادم".

على الرغم من أن تهديدات TLS خطيرة، إلا أنها غالبًا ما تكون علامة على أن التطبيق أو الخادم قديم، وهو ما يعني غالبًا وجود عدد كبير من الثغرات الأمنية التي يسهل استغلالها، لذلك عادةً ما يحول المهاجمون انتباههم إلى هناك.

يستمر دعم TLS 1.0 و1.1 لأن عددًا صغيرًا من التطبيقات ذات المهام الحرجة التي يصعب، إن لم يكن من المستحيل، تصحيحها تعتمد على بروتوكول الاتصالات.

ويقول: "إن الكثير من هذه الأجهزة لا يمكن تحديثها ببساطة، وإلا لكانت قد تم تحديثها بالفعل". "فكر في التطبيقات المخصصة التي تم كتابتها منذ عقود مضت لجهاز معين يعمل فقط في عدد قليل من المصانع. لقد تم حل فرق البرمجيات التي قامت ببناء هذه التطبيقات أو تقاعدت منذ فترة طويلة ولكن التطبيق لا يزال يعمل.

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون السيارات / المركبات الكهربائية ، كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• تشارت بريم. ارفع مستوى لعبة التداول الخاصة بك مع ChartPrime. الوصول هنا.
• BlockOffsets. تحديث ملكية الأوفست البيئية. الوصول هنا.
• المصدر https://www.darkreading.com/dr-tech/microsoft-google-take-on-obsolete-tls-protocols