माइक्रोसॉफ्ट ट्रांसपोर्ट लेयर सिक्योरिटी (टीएलएस) प्रोटोकॉल के पुराने संस्करणों को अक्षम करने की योजना बना रहा है, जो सर्वव्यापी संचार एन्क्रिप्शन है जिसका उपयोग नेटवर्क और इंटरनेट पर भेजी गई जानकारी की सुरक्षा के लिए किया जाता है। जबकि यदि व्यवसायों और उपयोगकर्ताओं को किसी महत्वपूर्ण एप्लिकेशन का उपयोग जारी रखने के लिए बैकवर्ड संगतता की आवश्यकता होती है, तो वे प्रोटोकॉल को फिर से सक्षम करने में सक्षम होंगेMicrosoft ने कहा, कंपनियों को अपने सिस्टम को TLS v1.2 या 1.3 पर स्थानांतरित करना चाहिए इसका नवीनतम मार्गदर्शन.
इस महीने से, कंपनी विंडोज 1.0 इनसाइडर प्रीव्यू में डिफ़ॉल्ट रूप से टीएलएस v1.1 और v11 को अक्षम कर देगी, इसके बाद भविष्य के विंडोज संस्करणों पर व्यापक निष्क्रियता होगी।
माइक्रोसॉफ्ट ने कहा, "पिछले कई वर्षों में, इंटरनेट मानकों और नियामक निकायों ने विभिन्न सुरक्षा मुद्दों के कारण टीएलएस संस्करण 1.0 और 1.1 को अप्रचलित या अस्वीकृत कर दिया है।" एक अन्य एडवाइजरी में कहा गया है. "हम कई वर्षों से टीएलएस प्रोटोकॉल के उपयोग पर नज़र रख रहे हैं और मानते हैं कि टीएलएस 1.0 और टीएलएस 1.1 का उपयोग डेटा कार्य करने के लिए काफी कम है।"
यह योजनाबद्ध बदलाव Google और उसके क्रोमियम प्रोजेक्ट के सुझाव के छह महीने बाद आया है कि टीएलएस प्रमाणपत्र होना चाहिए अधिकतम जीवनकाल 90 दिनों का , वर्तमान अधिकतम वैध अवधि 398 दिनों के एक चौथाई से भी कम।
ट्रांसपोर्ट लेयर सिक्योरिटी (टीएलएस) प्रोटोकॉल - और इसके पूर्ववर्ती, सिक्योर सॉकेट लेयर (एसएसएल) - इंटरनेट पर ट्रांज़िट में डेटा की सुरक्षा के लिए मानक तरीका बन गए हैं। फिर भी, एसएसएल और टीएलएस के पुराने संस्करणों में कमजोरियों ने मोज़िला फाउंडेशन जैसी प्रौद्योगिकी कंपनियों और संगठनों को अधिक सुरक्षित टीएलएस संस्करणों को अपनाने के लिए प्रेरित किया है। क्रोमियम प्रोजेक्ट में कहा गया है कि टीएलएस प्रमाणपत्रों की तेजी से समाप्ति के लिए दबाव कंपनियों को अपने प्रमाणपत्र बुनियादी ढांचे को स्वचालित करने के लिए भी प्रेरित करेगा, जिससे बेहतर सुरक्षा चपलता होगी। प्रमाणपत्र जीवनकाल को कम करने का इसका मार्च प्रस्ताव.
समूह ने कहा, "प्रमाणपत्र जीवनकाल को कम करने से स्वचालन और प्रथाओं को अपनाने को बढ़ावा मिलता है जो पारिस्थितिकी तंत्र को बारोक, समय लेने वाली और त्रुटि-प्रवण जारी करने वाली प्रक्रियाओं से दूर कर देगा।" "ये परिवर्तन उभरती सुरक्षा क्षमताओं और सर्वोत्तम प्रथाओं को तेजी से अपनाने की अनुमति देंगे, और पारिस्थितिकी तंत्र को क्वांटम-प्रतिरोधी एल्गोरिदम में शीघ्रता से परिवर्तित करने के लिए आवश्यक चपलता को बढ़ावा देंगे।"
टीएलएस 1.3 पर जाने का समय
कंपनियों को पहले अपने टीएलएस एंडपॉइंट, प्रमाणपत्रों के संग्रह की सूची बनानी चाहिए और अन्य तकनीकी घटकों की पहचान करनी चाहिए। AppViewX के मुख्य समाधान अधिकारी मुरलीधरन पलानीसामी कहते हैं, प्रमाणपत्रों के लिए कम जीवनकाल की ओर बढ़ने के कारण, चाबियों और प्रमाणपत्रों के स्वचालित प्रबंधन की आवश्यकता है।
"एक स्वचालित समाधान आपके हाइब्रिड मल्टी-क्लाउड वातावरण को लगातार स्कैन कर सकता है ताकि आपको अपनी क्रिप्टो परिसंपत्तियों में दृश्यता मिल सके और समाप्त हो चुके और कमजोर प्रमाणपत्रों को खोजने के लिए एक अद्यतन सूची बनाए रखी जा सके," वे कहते हैं। "पूर्ण प्रमाणपत्र जीवनचक्र प्रबंधन स्वचालन प्रमाणपत्रों को पुन: प्रावधानित, स्वतः-नवीनीकृत और निरस्त करने में सक्षम बनाता है।"
टीएलएस 1.3 पर स्थानांतरण पहले से ही चल रहा है। AppViewX के अनुसार, प्रत्येक पांच में से एक से अधिक सर्वर (21%) TLS 1.3 का उपयोग कर रहे हैं इंटरनेट स्कैन पर आधारित रिपोर्ट. पलानीसामी का कहना है कि नई तकनीक में शून्य राउंड-ट्रिप समय कुंजी एक्सचेंजों और टीएलएस 1.2 की तुलना में मजबूत सुरक्षा के साथ बड़े प्रदर्शन लाभ हैं, जो सही फॉरवर्ड गोपनीयता (पीएफएस) की पेशकश करते हैं।
कई संगठन आंतरिक रूप से टीएलएस 1.2 का उपयोग करते हैं और बाहरी रूप से टीएलएस 1.3 का उपयोग करते हैं।
ऐसे सर्वव्यापी एन्क्रिप्शन की ओर कदम इसके नकारात्मक पक्षों से रहित नहीं है। संगठनों को उम्मीद करनी चाहिए कि - टीएलएस 1.3 और डीएनएस-ओवर-एचटीटीपीएस को व्यापक रूप से अपनाने से - भविष्य में नेटवर्क ट्रैफिक का निरीक्षण नहीं किया जा सकेगा, फॉरेस्टर रिसर्च के प्रमुख विश्लेषक डेविड होम्स ने कहा सुरक्षा दृश्यता बनाए रखने पर एक रिपोर्ट एक एन्क्रिप्टेड भविष्य में.
होम्स ने लिखा, "जैसे-जैसे ये बदलाव गति पकड़ेंगे, सुरक्षा निगरानी उपकरण यातायात की सामग्री और गंतव्य के प्रति अंधे हो जाएंगे और खतरों का पता लगाने में असमर्थ हो जाएंगे।" “नेटवर्क पहले से कहीं अधिक गहरा हो जाएगा। सुरक्षा व्यवसायी और विक्रेता समुदाय दोनों सक्रिय रूप से ऐसे समाधान तैयार कर रहे हैं जो नेटवर्क पर दृश्यता वापस ला सकते हैं।
पूडल, हार्टब्लीड और अन्य दुर्लभ नस्लें
होम्स के अनुसार, सामान्य तौर पर, टीएलएस कमजोरियाँ एक काफी गूढ़ खतरा है, जिसमें कई सैद्धांतिक कमजोरियाँ हैं लेकिन जंगल में कुछ हमले देखे गए हैं। हमलावर शायद ही कभी टीएलएस मुद्दों को लक्षित करते हैं, क्योंकि एन्क्रिप्शन बुनियादी ढांचे पर हमला करना आम तौर पर बेहद जटिल होता है, जिसके लिए बहुत अधिक परिष्कार की आवश्यकता होती है।
फिर भी जब कोई भेद्यता पाई जाती है, तो निहितार्थ व्यापक हो सकते हैं, क्योंकि टीएलएस एन्क्रिप्शन बुनियादी ढांचा सर्वव्यापी है। 2014 में की खोज कुख्यात हार्टब्लीड भेद्यता ओपनएसएसएल लाइब्रेरी में प्रमुख सर्वरों को पैच करने की होड़ मच गई, इससे पहले कि हमलावर सर्वर से संवेदनशील डेटा चुराने के लिए समस्या का फायदा उठा सकें। उसी वर्ष, सिक्योर सॉकेट लेयर (एसएसएल) v3.0 में एक भेद्यता की खोज ने मशीन-इन-द-मिडिल हमले की अनुमति दी - सबसे प्रसिद्ध उदाहरण प्रूफ-ऑफ-कॉन्सेप्ट कोड डब किया गया डाउनग्रेडेड लिगेसी एन्क्रिप्शन (पूडल) हमले पर पैडिंग ओरेकल.
होम्स कहते हैं, "POODLE हमला SSLv3 - TLS 1.0 का पूर्ववर्ती - में एक गंभीर भेद्यता थी और इसकी खोज के कारण इंटरनेट ने उस प्रोटोकॉल को मूल रूप से रातोंरात - कुछ ही महीनों के भीतर अक्षम कर दिया, जो आश्चर्यजनक रूप से तेज़ है।"
जबकि टीएलएस खतरे गंभीर हैं, अक्सर वे एक संकेत होते हैं कि एक एप्लिकेशन या सर्वर पुराना हो गया है, जिसका अर्थ अक्सर यह होता है कि बड़ी संख्या में आसानी से उपयोग की जाने वाली कमजोरियां मौजूद हैं, इसलिए हमलावर आमतौर पर अपना ध्यान वहां केंद्रित करेंगे।
टीएलएस 1.0 और 1.1 का समर्थन जारी है क्योंकि मिशन-महत्वपूर्ण ऐप्स की एक छोटी संख्या संचार प्रोटोकॉल पर भरोसा करती है, जिन्हें पैच करना असंभव नहीं तो मुश्किल है।
वे कहते हैं, "इनमें से कई को अपग्रेड नहीं किया जा सकता है - या वे पहले ही हो चुके होते।" “एक विशिष्ट उपकरण के लिए दशकों पहले लिखे गए कस्टम एप्लिकेशन के बारे में सोचें जो केवल कुछ मुट्ठी भर कारखानों में चलता है। जिन सॉफ़्टवेयर टीमों ने उन एप्लिकेशनों का निर्माण किया था वे बहुत पहले ही भंग या सेवानिवृत्त हो चुकी हैं लेकिन एप्लिकेशन अभी भी चल रही है।"
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. ऑटोमोटिव/ईवीएस, कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- चार्टप्राइम. चार्टप्राइम के साथ अपने ट्रेडिंग गेम को उन्नत करें। यहां पहुंचें।
- BlockOffsets. पर्यावरणीय ऑफसेट स्वामित्व का आधुनिकीकरण। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/dr-tech/microsoft-google-take-on-obsolete-tls-protocols
- :हैस
- :है
- :नहीं
- 1
- 1.3
- 11
- 2014
- 7
- a
- योग्य
- About
- अनुसार
- अधिनियम
- सक्रिय रूप से
- दत्तक ग्रहण
- बाद
- पूर्व
- एल्गोरिदम
- अनुमति देना
- की अनुमति दी
- पहले ही
- भी
- an
- विश्लेषक
- और
- अन्य
- आवेदन
- अनुप्रयोगों
- क्षुधा
- हैं
- AS
- संपत्ति
- At
- आक्रमण
- हमला
- आक्रमण
- ध्यान
- को स्वचालित रूप से
- स्वचालित
- स्वचालन
- दूर
- वापस
- आधारित
- मूल रूप से
- BE
- क्योंकि
- बन
- किया गया
- से पहले
- जा रहा है
- मानना
- लाभ
- BEST
- सर्वोत्तम प्रथाओं
- बेहतर
- शव
- के छात्रों
- लाना
- विस्तृत
- बनाया गया
- लेकिन
- by
- कर सकते हैं
- क्षमताओं
- के कारण होता
- प्रमाण पत्र
- प्रमाण पत्र
- परिवर्तन
- प्रमुख
- क्रोमियम
- कोड
- संग्रह
- आता है
- संचार
- समुदाय
- कंपनियों
- कंपनी
- अनुकूलता
- जटिल
- घटकों
- अंतर्वस्तु
- जारी रखने के
- लगातार
- सका
- बनाना
- महत्वपूर्ण
- क्रिप्टो
- क्रिप्टो-संपत्ति
- वर्तमान
- रिवाज
- गहरे रंग
- तिथि
- तारीख
- डेविड
- दिन
- सौदा
- दशकों
- चूक
- पदावनत
- गंतव्य
- पता लगाना
- युक्ति
- मुश्किल
- खोज
- डाउनग्रेड
- कमियां
- ड्राइव
- संचालित
- करार दिया
- दो
- पूर्व
- पारिस्थितिकी तंत्र
- कस्र्न पत्थर
- सक्षम बनाता है
- को प्रोत्साहित करती है
- एन्क्रिप्टेड
- एन्क्रिप्शन
- पर्याप्त
- वातावरण
- कभी
- प्रत्येक
- उदाहरण
- एक्सचेंजों
- उम्मीद
- समाप्ति
- शोषण करना
- बाहर से
- अत्यंत
- कारखानों
- काफी
- फास्ट
- और तेज
- कुछ
- खोज
- प्रथम
- पांच
- पीछा किया
- के लिए
- फॉरेस्टर
- आगे
- पाया
- बुनियाद
- से
- पूर्ण
- भविष्य
- लाभ
- सामान्य जानकारी
- आम तौर पर
- देना
- गूगल
- महान
- समूह
- मुट्ठी
- है
- he
- Heartbleed
- HTTPS
- विशाल
- संकर
- पहचान करना
- if
- निहितार्थ
- असंभव
- in
- करें-
- इंफ्रास्ट्रक्चर
- अंदरूनी सूत्र
- के भीतर
- इंटरनेट
- में
- सूची
- जारी करने, निर्गमन
- मुद्दा
- मुद्दों
- आईटी इस
- जेपीजी
- कुंजी
- Instagram पर
- ताज़ा
- परत
- प्रमुख
- विरासत
- कम
- पुस्तकालय
- जीवन चक्र
- जीवनकाल
- जीवनकाल
- लंबा
- लंबे समय तक
- निम्न
- बनाए रखना
- को बनाए रखने के
- प्रमुख
- प्रबंध
- बहुत
- मार्च
- बात
- अधिकतम
- साधन
- माइक्रोसॉफ्ट
- ओर पलायन
- गति
- निगरानी
- महीना
- महीने
- अधिक
- अधिकांश
- चाल
- मोज़िला
- आवश्यकता
- नेटवर्क
- प्रसार यातायात
- नेटवर्क
- नहीं
- संख्या
- अप्रचलित
- of
- की पेशकश
- अफ़सर
- अक्सर
- on
- ONE
- केवल
- openssl
- or
- पेशीनगोई
- संगठनों
- अन्य
- आउट
- के ऊपर
- रात भर
- अतीत
- पैच
- उत्तम
- प्रदर्शन
- अवधि
- की योजना बनाई
- योजनाओं
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- प्रथाओं
- अग्रगामी
- पूर्वज
- वर्तमान
- पूर्वावलोकन
- प्रिंसिपल
- प्रक्रियाओं
- परियोजना
- को बढ़ावा देना
- प्रस्ताव
- रक्षा करना
- प्रोटोकॉल
- प्रोटोकॉल
- धक्का
- तिमाही
- जल्दी से
- दौड़
- दुर्लभ
- शायद ही कभी
- को कम करने
- को कम करने
- नियामक
- भरोसा करना
- रिपोर्ट
- अपेक्षित
- अनुसंधान
- चलाता है
- वही
- कहते हैं
- स्कैन
- सुरक्षित
- सुरक्षा
- देखा
- संवेदनशील
- भेजा
- गंभीर
- सर्वर
- कई
- चाहिए
- हस्ताक्षर
- महत्वपूर्ण
- केवल
- छह
- छह महीने
- छोटा
- So
- सॉफ्टवेयर
- समाधान
- समाधान ढूंढे
- मिलावट
- विशिष्ट
- एसएसएल
- मानक
- मानकों
- वर्णित
- फिर भी
- मजबूत
- ऐसा
- समर्थित
- स्विच
- सिस्टम
- लेना
- लक्ष्य
- टीमों
- तकनीकी
- टेक्नोलॉजी
- प्रौद्योगिकी कंपनियों
- से
- कि
- RSI
- भविष्य
- लेकिन हाल ही
- सैद्धांतिक
- वहाँ।
- इन
- वे
- सोचना
- इसका
- उन
- धमकी
- धमकी
- पहर
- बहुत समय लगेगा
- सेवा मेरे
- उपकरण
- की ओर
- ट्रैकिंग
- यातायात
- पारगमन
- संक्रमण
- परिवहन
- मोड़
- आम तौर पर
- देशव्यापी
- असमर्थ
- प्रक्रिया में
- अद्यतन
- उन्नत
- प्रयोग
- उपयोग
- प्रयुक्त
- उपयोगकर्ताओं
- का उपयोग
- v1
- विविधता
- विक्रेता
- संस्करणों
- दृश्यता
- कमजोरियों
- भेद्यता
- था
- मार्ग..
- we
- प्रसिद्ध
- कब
- कौन कौन से
- जब
- जंगली
- मर्जी
- खिड़कियां
- विंडोज 11
- साथ में
- अंदर
- बिना
- होगा
- लिखा हुआ
- लिखा था
- वर्ष
- साल
- अभी तक
- आप
- आपका
- जेफिरनेट
- शून्य
