Търсене
Close this search box.

Microsoft планира да деактивира по-старите версии на протокола TLS (Transport Layer Security) – широко разпространеното криптиране на комуникации, което се използва за защита на информацията, изпращана по мрежи и интернет. Въпреки че предприятията и потребителите ще могат да активират отново протоколите, ако се нуждаят от обратна съвместимост, за да продължат да използват критично приложение, компаниите трябва да мигрират системите си към TLS v1.2 или 1.3, заяви Microsoft в последните си насоки.

От този месец компанията ще деактивира TLS v1.0 и v1.1 по подразбиране в Windows 11 Insider Preview, последвано от широко деактивиране в бъдещите версии на Windows.

„През последните няколко години интернет стандартите и регулаторните органи отхвърлиха или забраниха версиите TLS 1.0 и 1.1 поради различни проблеми със сигурността“, заяви Microsoft в друга консултация. „От няколко години следим използването на протокола TLS и смятаме, че данните за използването на TLS 1.0 и TLS 1.1 са достатъчно ниски, за да предприемем действия.“

Планираното преминаване идва шест месеца след като Google и нейният проект Chromium предложиха TLS сертификатите да имат максимален живот от 90 дни , което е по-малко от една четвърт от сегашния максимален срок на валидност от 398 дни.

Протоколът за сигурност на транспортния слой (TLS) – и неговият предшественик Secure Sockets Layer (SSL) – се превърнаха в стандартен начин за защита на данните при пренос в интернет. Въпреки това слабостите в SSL и по-ранните версии на TLS накараха технологични компании и организации, като фондация Mozilla, да настояват за приемането на по-сигурните версии на TLS. Стремежът към по-бързо изтичане на валидността на TLS сертификатите също така ще подтикне компаниите да автоматизират инфраструктурата си за сертификати, което ще доведе до по-добра гъвкавост в областта на сигурността, заяви проектът Chromium в предложението си от март за намаляване на срока на валидност на сертификатите.

„Намаляването на продължителността на живота на сертификатите насърчава автоматизацията и възприемането на практики, които ще откажат екосистемата от барокови, отнемащи време и предразполагащи към грешки процеси на издаване“, заяви групата. „Тези промени ще позволят по-бързото възприемане на нововъзникващите възможности за сигурност и най-добрите практики и ще насърчат гъвкавостта, необходима за бързото преминаване на екосистемата към квантово устойчиви алгоритми.“

Време е да преминете към TLS 1.3

Компаниите трябва първо да инвентаризират своите крайни точки на TLS, колекцията си от сертификати и да идентифицират други технически компоненти. Поради преминаването към по-кратки срокове на живот на сертификатите е необходимо автоматизирано управление на ключовете и сертификатите, казва Муралидхаран Паланисами, главен директор по решенията в AppViewX.

„Едно автоматизирано решение може непрекъснато да сканира вашите хибридни многооблачни среди, за да ви осигури видимост на криптоактивите ви и да поддържа актуализиран опис, за да открие изтекли и слаби сертификати“, казва той. „Пълната автоматизация на управлението на жизнения цикъл на сертификатите позволява сертификатите да бъдат презаверявани, автоматично подновявани и отменяни.“

Преминаването към TLS 1.3 вече е в ход. Повече от един на всеки пет сървъра (21%) използва TLS 1.3, според доклад на AppViewX, базиран на сканирания в интернет. По-новата технология има огромни предимства по отношение на производителността с нулево време за обмен на ключове в кръг и по-силна сигурност от TLS 1.2, предлагайки перфектна тайна напред (PFS), казва Паланисами.

Много организации използват TLS 1.2 вътрешно и TLS 1.3 външно.

Преминаването към такова повсеместно криптиране не е лишено от недостатъци. Организациите трябва да очакват, че поради широкото разпространение на TLS 1.3 и DNS-over-HTTPS в бъдеще мрежовият трафик вече няма да може да бъде проверяван – заявява Дейвид Холмс, главен анализатор във Forrester Research, в доклад за поддържане на видимост на сигурността в криптираното бъдеще.

„Тъй като тези промени набират скорост, инструментите за мониторинг на сигурността ще бъдат слепи за съдържанието и предназначението на трафика и няма да могат да откриват заплахи“, пише Холмс. „Мрежата ще бъде по-тъмна, отколкото някога е била. Както общностите на специалистите по сигурността, така и тези на доставчиците активно създават решения, които могат да върнат видимостта в мрежата.“

POODLE, Heartbleed и други редки породи

Като цяло уязвимостите в TLS са доста езотерична заплаха, с много теоретични слабости, но малко атаки, наблюдавани в реални условия, според Холмс. Нападателите рядко се насочват към проблеми с TLS, защото атакуването на инфраструктурата за криптиране по принцип е изключително сложно и изисква голяма подготовка.

И все пак, когато се открие уязвимост, последиците могат да бъдат повсеместни, тъй като инфраструктурата за криптиране TLS е повсеместно разпространена. През 2014 г. откриването на скандалната уязвимост Heartbleed в библиотеката OpenSSL доведе до надпревара за поправяне на големи сървъри, преди нападателите да успеят да се възползват от проблема, за да откраднат чувствителни данни от сървърите. Същата година откриването на уязвимост в Secure Sockets Layer (SSL) v3.0 позволяваше атака „машина в средата“ – най-известният пример за това е кодът за доказване на концепцията, наречен атака Padding Oracle on Downgraded Legacy Encryption (POODLE).

„Атаката POODLE беше критична уязвимост в SSLv3 – предшественика на TLS 1.0 – и нейното откриване доведе до деактивиране на този протокол в интернет на практика за една нощ – в рамките на няколко месеца, което е шокиращо бързо“, казва Холмс.

Въпреки че заплахите за TLS са сериозни, често те са знак, че дадено приложение или сървър са остарели, което често означава, че са налице значителен брой по-лесни за експлоатиране уязвимости, така че нападателите обикновено насочват вниманието си натам.

TLS 1.0 и 1.1 продължават да се поддържат, тъй като малък брой критични приложения, които е трудно, ако не и невъзможно, да бъдат поправени, разчитат на комуникационния протокол.

„Много от тях просто не могат да бъдат обновени – или вече щяха да са“, казва той. „Помислете за потребителските приложения, написани преди десетилетия за конкретно устройство, което работи само в няколко фабрики. Софтуерните екипи, които са създали тези приложения, са се разпуснали или пенсионирали отдавна, но приложението все още работи.“

Източник: DARKReading

Подобни публикации

4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
3 октомври 2024

Пробив с нулев ден в Rackspace Sparks Vendor B...

Корпоративният хост за облачни услуги Rackspace е бил хакнат чрез н...
3 октомври 2024

Рекордна DDoS атака достигна 3,8 Tbps и 2,14 м...

Фирмата за уеб производителност и сигурност Cloudflare наскоро смек...
Бъдете социални
Още по темата
15/09/2024

Microsoft и Quantinuum комб...

Технологичният гигант Microsoft и водещият разработчик...
08/09/2024

Европа отвори вратата към у...

Представете си, че се премествате в...
29/08/2024

Злонамерен софтуер, доставе...

Наблюдавани са заплахи, които доставят зловреден...
Последно добавени
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
04/10/2024

Използвана уязвимост на Iva...

Тази седмица Ivanti и американската агенция...
04/10/2024

Холандското правителство об...

Министърът на правосъдието заяви пред депутатите,...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!