Microsoft en Google nemen verouderde TLS-protocollen over

Microsoft is van plan oudere versies van het Transport Layer Security (TLS)-protocol uit te schakelen, de alomtegenwoordige communicatie-encryptie die wordt gebruikt om informatie te beschermen die via netwerken en internet wordt verzonden. Terwijl bedrijven en gebruikers kunnen de protocollen opnieuw inschakelen als ze achterwaartse compatibiliteit nodig hebben om een ​​kritische applicatie te kunnen blijven gebruikenVolgens Microsoft zouden bedrijven hun systemen moeten migreren naar TLS v1.2 of 1.3 zijn nieuwste richtlijnen.

Vanaf deze maand schakelt het bedrijf TLS v1.0 en v1.1 standaard uit in Windows 11 Insider Preview, gevolgd door een brede deactivering in toekomstige Windows-versies.

“De afgelopen jaren hebben internetstandaarden en regelgevende instanties TLS-versies 1.0 en 1.1 verouderd of niet toegestaan ​​vanwege een verscheidenheid aan beveiligingsproblemen”, zegt Microsoft. vermeld in een ander advies. “We volgen het gebruik van het TLS-protocol al enkele jaren en zijn van mening dat de gebruiksgegevens van TLS 1.0 en TLS 1.1 laag genoeg zijn om actie te ondernemen.”

De geplande overstap komt zes maanden nadat Google en zijn Chromium Project suggereerden dat TLS-certificaten zouden moeten hebben een maximale levensduur van 90 dagen , minder dan een kwart van de huidige maximale geldigheidsduur van 398 dagen.

Het Transport Layer Security (TLS)-protocol – en zijn voorganger, Secure Sockets Layer (SSL) – zijn de standaardmanier geworden om gegevens die onderweg zijn op internet te beschermen. Toch hebben zwakke punten in SSL en de eerdere versies van TLS technologiebedrijven en organisaties, zoals de Mozilla Foundation, ertoe aangezet om aan te dringen op de adoptie van de veiligere TLS-versies. Het streven naar een snellere vervaldatum van TLS-certificaten zal bedrijven er ook toe aanzetten hun certificaatinfrastructuur te automatiseren, wat leidt tot een betere beveiligingsflexibiliteit, aldus het Chromium Project in haar voorstel van maart om de levensduur van certificaten te verkorten.

“Het verkorten van de levensduur van certificaten stimuleert automatisering en de adoptie van praktijken die het ecosysteem wegdrijven van barokke, tijdrovende en foutgevoelige uitgifteprocessen”, aldus de groep. “Deze veranderingen zullen een snellere acceptatie van opkomende beveiligingsmogelijkheden en best practices mogelijk maken, en de flexibiliteit bevorderen die nodig is om het ecosysteem snel over te zetten naar kwantumbestendige algoritmen.”

Tijd om over te stappen naar TLS 1.3

Bedrijven moeten eerst hun TLS-eindpunten en hun verzameling certificaten inventariseren en andere technische componenten identificeren. Vanwege de beweging in de richting van een kortere levensduur van certificaten is geautomatiseerd beheer van sleutels en certificaten vereist, zegt Muralidharan Palanisamy, chief solutions officer van AppViewX.

“Een geautomatiseerde oplossing kan uw hybride multi-cloudomgevingen continu scannen om u inzicht te geven in uw crypto-activa en een bijgewerkte inventaris bij te houden om verlopen en zwakke certificaten te vinden”, zegt hij. “Volledige automatisering van het levenscyclusbeheer van certificaten maakt het mogelijk om certificaten opnieuw in te richten, automatisch te vernieuwen en in te trekken.”

De overstap naar TLS 1.3 is al aan de gang. Volgens AppViewX gebruikt ruim één op de vijf servers (21%) TLS 1.3 rapport gebaseerd op internetscans. De nieuwere technologie biedt enorme prestatievoordelen: er is geen sleuteluitwisseling nodig en de beveiliging is sterker dan TLS 1.2, waardoor perfecte voorwaartse geheimhouding (PFS) wordt geboden, zegt Palanisamy.

Veel organisaties gebruiken TLS 1.2 intern en gebruiken TLS 1.3 extern.

De overstap naar een dergelijke alomtegenwoordige encryptie is niet zonder nadelen. Organisaties moeten verwachten dat – gedreven door de brede acceptatie van TLS 1.3 en DNS-over-HTTPS – netwerkverkeer in de toekomst niet langer kan worden geïnspecteerd, aldus David Holmes, hoofdanalist bij Forrester Research. een rapport over het behoud van de zichtbaarheid van de beveiliging in een gecodeerde toekomst.

“Naarmate deze veranderingen aan kracht winnen, zullen tools voor beveiligingsmonitoring blind zijn voor de inhoud en bestemming van het verkeer en niet in staat zijn om bedreigingen te detecteren”, schreef Holmes. “Het netwerk zal donkerder zijn dan ooit tevoren. Zowel de beveiligingsprofessionals als de leveranciersgemeenschappen zijn actief bezig met het creëren van oplossingen die de zichtbaarheid van het netwerk terug kunnen brengen.”

POEDEL, Heartbleed en andere zeldzame rassen

Over het algemeen vormen TLS-kwetsbaarheden een tamelijk esoterische bedreiging, met veel theoretische zwakheden, maar weinig aanvallen in het wild, aldus Holmes. Aanvallers richten zich zelden op TLS-problemen, omdat het aanvallen van de encryptie-infrastructuur over het algemeen uiterst ingewikkeld is en veel verfijning vereist.

Maar als er een kwetsbaarheid wordt gevonden, kunnen de gevolgen verstrekkend zijn, omdat de TLS-encryptie-infrastructuur alomtegenwoordig is. In 2014 werd de ontdekking van de beruchte Heartbleed-kwetsbaarheid in de OpenSSL-bibliotheek resulteerde in een race om grote servers te patchen voordat aanvallers het probleem konden misbruiken om gevoelige gegevens van servers te stelen. In hetzelfde jaar maakte de ontdekking van een kwetsbaarheid in Secure Sockets Layer (SSL) v3.0 een machine-in-the-middle-aanval mogelijk – het bekendste voorbeeld is de proof-of-concept-code genaamd de Padding Oracle on Downgraded Legacy Encryption (POODLE) -aanval.

“De POODLE-aanval was een kritieke kwetsbaarheid in SSLv3 – de voorloper van TLS 1.0 – en de ontdekking ervan zorgde ervoor dat het internet dat protocol vrijwel van de ene op de andere dag uitschakelde – binnen een paar maanden, wat schokkend snel is”, zegt Holmes.

Hoewel TLS-bedreigingen ernstig zijn, zijn ze vaak een teken dat een applicatie of server verouderd is, wat vaak betekent dat er een aanzienlijk aantal gemakkelijker te misbruiken kwetsbaarheden aanwezig is, zodat aanvallers hun aandacht daar doorgaans op zullen richten.

TLS 1.0 en 1.1 worden nog steeds ondersteund omdat een klein aantal bedrijfskritische apps die moeilijk, zo niet onmogelijk, te patchen zijn, afhankelijk zijn van het communicatieprotocol.

“Veel hiervan kunnen eenvoudigweg niet worden geüpgraded, anders zouden ze dat al zijn geweest”, zegt hij. “Denk eens aan maatwerkapplicaties die tientallen jaren geleden zijn geschreven voor een specifiek apparaat dat slechts in een handvol fabrieken draait. De softwareteams die deze applicaties hebben gebouwd zijn al lang geleden opgeheven of met pensioen gegaan, maar de applicatie draait nog steeds.”

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. Automotive / EV's, carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• ChartPrime. Verhoog uw handelsspel met ChartPrime. Toegang hier.
• BlockOffsets. Eigendom voor milieucompensatie moderniseren. Toegang hier.
• Bron: https://www.darkreading.com/dr-tech/microsoft-google-take-on-obsolete-tls-protocols