Microsoft und Google übernehmen veraltete TLS-Protokolle

Microsoft plant, ältere Versionen des Transport Layer Security (TLS)-Protokolls zu deaktivieren, der allgegenwärtigen Kommunikationsverschlüsselung, die zum Schutz von über Netzwerke und das Internet gesendeten Informationen verwendet wird. Während Unternehmen und Benutzer können die Protokolle wieder aktivieren, wenn sie Abwärtskompatibilität benötigen, um eine kritische Anwendung weiterhin verwenden zu könnenLaut Microsoft sollten Unternehmen ihre Systeme auf TLS v1.2 oder 1.3 migrieren seine neueste Anleitung.

Ab diesem Monat wird das Unternehmen TLS v1.0 und v1.1 standardmäßig in der Insider-Vorschau von Windows 11 deaktivieren, gefolgt von einer umfassenden Deaktivierung für zukünftige Windows-Versionen.

„In den letzten Jahren haben Internetstandards und Regulierungsbehörden die TLS-Versionen 1.0 und 1.1 aufgrund verschiedener Sicherheitsprobleme abgelehnt oder nicht zugelassen“, sagte Microsoft heißt es in einem anderen Hinweis. „Wir verfolgen die Nutzung des TLS-Protokolls seit mehreren Jahren und glauben, dass die Nutzungsdaten von TLS 1.0 und TLS 1.1 niedrig genug sind, um handeln zu können.“

Der geplante Wechsel erfolgt sechs Monate, nachdem Google und sein Chromium-Projekt vorgeschlagen haben, TLS-Zertifikate zu verwenden eine maximale Lebensdauer von 90 Tagen , weniger als ein Viertel der aktuellen maximalen Gültigkeitsdauer von 398 Tagen.

Das Transport Layer Security (TLS)-Protokoll – und sein Vorgänger, Secure Sockets Layer (SSL) – sind zum Standardverfahren zum Schutz von Daten bei der Übertragung im Internet geworden. Doch Schwachstellen bei SSL und den früheren Versionen von TLS haben Technologieunternehmen und Organisationen wie die Mozilla Foundation dazu veranlasst, auf die Einführung der sichereren TLS-Versionen zu drängen. Der Drang nach einem schnelleren Ablauf von TLS-Zertifikaten wird Unternehmen auch dazu veranlassen, ihre Zertifikatsinfrastruktur zu automatisieren, was zu einer besseren Sicherheitsagilität führt, heißt es im Chromium Project seinen Vorschlag vom März, die Lebensdauer von Zertifikaten zu verkürzen.

„Die Verkürzung der Zertifikatslebensdauer fördert die Automatisierung und die Einführung von Praktiken, die das Ökosystem von barocken, zeitaufwändigen und fehleranfälligen Ausstellungsprozessen befreien“, erklärte die Gruppe. „Diese Änderungen werden eine schnellere Einführung neuer Sicherheitsfunktionen und Best Practices ermöglichen und die erforderliche Agilität fördern, um das Ökosystem schnell auf quantenresistente Algorithmen umzustellen.“

Zeit für den Umstieg auf TLS 1.3

Unternehmen sollten zunächst eine Bestandsaufnahme ihrer TLS-Endpunkte, ihrer Zertifikatssammlung und der Identifizierung anderer technischer Komponenten durchführen. „Aufgrund der Entwicklung hin zu kürzeren Lebensdauern von Zertifikaten ist eine automatisierte Verwaltung von Schlüsseln und Zertifikaten erforderlich“, sagt Muralidharan Palanisamy, Chief Solutions Officer bei AppViewX.

„Eine automatisierte Lösung kann Ihre hybriden Multi-Cloud-Umgebungen kontinuierlich scannen, um Ihnen Einblick in Ihre Krypto-Assets zu verschaffen und einen aktualisierten Bestand zu führen, um abgelaufene und schwache Zertifikate zu finden“, sagt er. „Die vollständige Automatisierung des Zertifikatslebenszyklusmanagements ermöglicht die erneute Bereitstellung, automatische Erneuerung und den Widerruf von Zertifikaten.“

Der Wechsel zu TLS 1.3 ist bereits im Gange. Laut einer Studie von AppViewX nutzt mehr als jeder fünfte Server (21 %) TLS 1.3 Bericht basierend auf Internet-Scans. Laut Palanisamy bietet die neuere Technologie enorme Leistungsvorteile mit Schlüsselaustausch ohne Umlaufzeit und höherer Sicherheit als TLS 1.2 sowie Perfect Forward Secrecy (PFS).

Viele Organisationen nutzen TLS 1.2 intern und TLS 1.3 extern.

Der Übergang zu einer derart allgegenwärtigen Verschlüsselung ist nicht ohne Nachteile. Unternehmen sollten damit rechnen, dass der Netzwerkverkehr aufgrund der breiten Einführung von TLS 1.3 und DNS-over-HTTPS in Zukunft nicht mehr überprüft werden kann, erklärte David Holmes, Chefanalyst bei Forrester Research ein Bericht über die Aufrechterhaltung der Sicherheitstransparenz in einer verschlüsselten Zukunft.

„Wenn diese Änderungen an Dynamik gewinnen, werden Sicherheitsüberwachungstools blind für den Inhalt und das Ziel des Datenverkehrs sein und Bedrohungen nicht mehr erkennen können“, schrieb Holmes. „Das Netzwerk wird dunkler sein als je zuvor. Sowohl die Sicherheitsexperten als auch die Anbietergemeinschaft entwickeln aktiv Lösungen, die die Sichtbarkeit des Netzwerks wiederherstellen können.“

Pudel, Heartbleed und andere seltene Rassen

Im Allgemeinen stellen TLS-Schwachstellen eine ziemlich esoterische Bedrohung dar, mit vielen theoretischen Schwächen, aber nur wenigen Angriffen, die in freier Wildbahn beobachtet werden, so Holmes. Angreifer zielen selten auf TLS-Probleme ab, da Angriffe auf die Verschlüsselungsinfrastruktur im Allgemeinen äußerst kompliziert sind und ein hohes Maß an Geschicklichkeit erfordern.

Wenn jedoch eine Schwachstelle entdeckt wird, können die Auswirkungen weitreichend sein, da die TLS-Verschlüsselungsinfrastruktur allgegenwärtig ist. Im Jahr 2014 erfolgte die Entdeckung des berüchtigte Heartbleed-Sicherheitslücke in der OpenSSL-Bibliothek führte zu einem Wettlauf um Patches für wichtige Server, bevor Angreifer das Problem ausnutzen konnten, um vertrauliche Daten von Servern zu stehlen. Im selben Jahr ermöglichte die Entdeckung einer Schwachstelle in Secure Sockets Layer (SSL) v3.0 einen Machine-in-the-Middle-Angriff – das bekannteste Beispiel ist der sogenannte Proof-of-Concept-Code der Padding Oracle on Downgraded Legacy Encryption (POODLE)-Angriff.

„Der POODLE-Angriff war eine kritische Schwachstelle in SSLv3 – dem Vorläufer von TLS 1.0 – und seine Entdeckung führte dazu, dass das Internet dieses Protokoll praktisch über Nacht deaktivierte – innerhalb weniger Monate, was erschreckend schnell ist“, sagt Holmes.

Obwohl TLS-Bedrohungen schwerwiegend sind, sind sie oft ein Zeichen dafür, dass eine Anwendung oder ein Server veraltet ist, was oft bedeutet, dass eine erhebliche Anzahl leichter auszunutzender Schwachstellen vorhanden ist, sodass Angreifer ihre Aufmerksamkeit normalerweise darauf richten.

TLS 1.0 und 1.1 werden weiterhin unterstützt, da eine kleine Anzahl geschäftskritischer Apps, die nur schwer oder gar nicht gepatcht werden können, auf dem Kommunikationsprotokoll basieren.

„Viele davon können einfach nicht aktualisiert werden – sonst wäre es bereits geschehen“, sagt er. „Denken Sie an benutzerdefinierte Anwendungen, die vor Jahrzehnten für ein bestimmtes Gerät geschrieben wurden und nur in einer Handvoll Fabriken laufen. Die Softwareteams, die diese Anwendungen erstellt haben, haben sich schon vor langer Zeit aufgelöst oder sind in den Ruhestand getreten, aber die Anwendung läuft immer noch.“

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Automobil / Elektrofahrzeuge, Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• ChartPrime. Verbessern Sie Ihr Handelsspiel mit ChartPrime. Hier zugreifen.
• BlockOffsets. Modernisierung des Eigentums an Umweltkompensationen. Hier zugreifen.
• Quelle: https://www.darkreading.com/dr-tech/microsoft-google-take-on-obsolete-tls-protocols