Microsoft, Google Vegye az elavult TLS-protokollokat

A Microsoft azt tervezi, hogy letiltja a Transport Layer Security (TLS) protokoll régebbi verzióit, a mindenütt jelenlévő kommunikációs titkosítást, amelyet a hálózatokon és az interneten keresztül küldött információk védelmére használnak. Míg a vállalkozások és a felhasználók újra engedélyezhetik a protokollokat, ha visszafelé kompatibilitásra van szükségük egy kritikus alkalmazás használatának folytatásához, a vállalatoknak rendszereiket TLS v1.2-re vagy 1.3-ra kellene áttelepíteniük, mondta a Microsoft legújabb útmutatója.

Ettől a hónaptól kezdődően a vállalat alapértelmezés szerint letiltja a TLS v1.0-t és v1.1-et a Windows 11 Insider Preview-ban, amit a jövőbeni Windows-verziók széles körű deaktiválása követ.

"Az elmúlt néhány évben az internetes szabványok és szabályozó testületek számos biztonsági probléma miatt elavultak vagy tiltottak a TLS 1.0 és 1.1 verzióit" áll egy másik tanácsban. "Több éve nyomon követjük a TLS-protokoll használatát, és úgy gondoljuk, hogy a TLS 1.0 és TLS 1.1 használati adatai elég alacsonyak a cselekvéshez."

A tervezett váltás hat hónappal azután történik, hogy a Google és a Chromium Project azt javasolta, hogy a TLS-tanúsítványoknak rendelkezniük kell maximális élettartama 90 nap , kevesebb, mint a jelenlegi 398 napos maximális érvényességi időszak negyede.

A Transport Layer Security (TLS) protokoll – és elődje, a Secure Sockets Layer (SSL) – az interneten továbbított adatok védelmének szabványos módjává vált. Az SSL és a TLS korábbi verzióinak gyengeségei azonban arra késztették a technológiai vállalatokat és szervezeteket, mint például a Mozilla Foundation, hogy szorgalmazzák a biztonságosabb TLS-verziók elfogadását. A TLS-tanúsítványok gyorsabb lejáratására irányuló törekvés arra is készteti a vállalatokat, hogy automatizálják tanúsítvány-infrastruktúrájukat, ami jobb biztonsági agilitáshoz vezet – áll a Chromium projektben. márciusi javaslata a tanúsítványok élettartamának csökkentésére.

„A tanúsítványok élettartamának csökkentése ösztönzi az automatizálást és olyan gyakorlatok átvételét, amelyek elűzik az ökoszisztémát a barokk, időigényes és hibákra hajlamos kiadási folyamatoktól” – szögezte le a csoport. „Ezek a változtatások lehetővé teszik a feltörekvő biztonsági képességek és legjobb gyakorlatok gyorsabb átvételét, és elősegítik az ökoszisztéma gyors kvantumrezisztens algoritmusokra való átállásához szükséges agilitást.”

Ideje áttérni a TLS 1.3-ra

A vállalatoknak először leltárba kell venniük TLS-végpontjaikat, tanúsítványgyűjteményüket, és azonosítaniuk kell az egyéb műszaki összetevőket. A tanúsítványok rövidebb élettartama felé való elmozdulás miatt a kulcsok és tanúsítványok automatizált kezelésére van szükség – mondja Muralidharan Palanisamy, az AppViewX megoldási igazgatója.

„Egy automatizált megoldás képes folyamatosan átvizsgálni a hibrid többfelhős környezeteket, hogy láthatóvá tegye a kriptoeszközeit, és frissített leltárt tartson fenn a lejárt és gyenge tanúsítványok megtalálása érdekében” – mondja. „A tanúsítványok teljes életciklus-kezelésének automatizálása lehetővé teszi a tanúsítványok újrakiosztását, automatikus megújítását és visszavonását.”

A TLS 1.3-ra való átállás már folyamatban van. Egy AppViewX szerint minden ötödik szerverből több (21%) TLS 1.3-at használ. jelentés internetes szkennelés alapján. Palanisamy szerint az újabb technológia óriási teljesítményelőnyökkel rendelkezik: nulla oda-vissza idejű kulcscsere, és erősebb a biztonság, mint a TLS 1.2, tökéletes továbbítási titkosságot (PFS).

Sok szervezet használja a TLS 1.2-t belsőleg, és használja a TLS 1.3-at kívülről.

Az ilyen mindenütt jelenlévő titkosításra való áttérésnek nincsenek árnyoldalai sem. David Holmes, a Forrester Research vezető elemzője szerint a szervezeteknek számítaniuk kell arra, hogy – a TLS 1.3 és a DNS-over-HTTPS széles körű elterjedése miatt – a jövőben nem lehet majd ellenőrizni a hálózati forgalmat. jelentést a biztonsági láthatóság fenntartásáról titkosított jövőben.

„Ahogy ezek a változások felgyorsulnak, a biztonsági felügyeleti eszközök vakok lesznek a forgalom tartalmára és céljára, és nem képesek észlelni a fenyegetéseket” – írta Holmes. „A hálózat sötétebb lesz, mint valaha. Mind a biztonsági szakemberek, mind a szállítói közösségek aktívan hoznak létre olyan megoldásokat, amelyek visszahozhatják a hálózat láthatóságát.”

USZKRA, Heartbleed és egyéb ritka fajták

Általánosságban elmondható, hogy a TLS sebezhetőségei meglehetősen ezoterikus fenyegetést jelentenek, sok elméleti gyengeséggel, de kevés támadást láthatunk a vadonban, Holmes szerint. A támadók ritkán veszik célba a TLS-problémákat, mivel a titkosítási infrastruktúra támadása általában rendkívül bonyolult, és nagy kifinomultságot igényel.

Ha azonban sérülékenységet találnak, a következmények átfogóak lehetnek, mivel a TLS titkosítási infrastruktúra mindenütt jelen van. 2014-ben a felfedezés a a hírhedt Heartbleed sebezhetőség Az OpenSSL-könyvtárban a nagyobb szerverek javítására irányuló versenyfutást eredményezett, mielőtt a támadók a problémát kihasználva érzékeny adatokat lophattak volna el a szerverekről. Ugyanebben az évben a Secure Sockets Layer (SSL) v3.0-s sebezhetőségének felfedezése lehetővé tette a gépen belüli támadást – a legismertebb példa a koncepció-bizonyíték kód. a Padding Oracle on Downgraded Legacy Encryption (POODLE) támadás.

„A POODLE támadás kritikus biztonsági rést jelentett az SSLv3-ban – a TLS 1.0 előfutára –, és felfedezése miatt az internet gyakorlatilag egyik napról a másikra letiltotta ezt a protokollt – néhány hónapon belül, ami megdöbbentően gyors” – mondja Holmes.

Míg a TLS-fenyegetések komolyak, gyakran azt jelzik, hogy egy alkalmazás vagy szerver elavult, ami gyakran azt jelenti, hogy jelentős számú, könnyebben kihasználható sebezhetőség van jelen, így a támadók jellemzően erre fordítják figyelmüket.

A TLS 1.0 és 1.1 továbbra is támogatott, mert néhány kritikus fontosságú alkalmazás, amelyeket nehéz, ha nem lehetetlen javítani, a kommunikációs protokollra támaszkodik.

„Ezek közül sokat egyszerűen nem lehet frissíteni – vagy már megtették volna” – mondja. „Gondoljon azokra az egyedi alkalmazásokra, amelyeket évtizedekkel ezelőtt írtak egy adott eszközhöz, amely csak néhány gyárban fut. Az alkalmazásokat létrehozó szoftvercsapatok már régen feloszlottak vagy visszavonultak, de az alkalmazás továbbra is fut.”

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Autóipar / elektromos járművek, Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• ChartPrime. Emelje fel kereskedési játékát a ChartPrime segítségével. Hozzáférés itt.
• BlockOffsets. A környezetvédelmi ellentételezési tulajdon korszerűsítése. Hozzáférés itt.
• Forrás: https://www.darkreading.com/dr-tech/microsoft-google-take-on-obsolete-tls-protocols