Microsoft планира да деактивира по-старите версии на протокола TLS (Transport Layer Security) – широко разпространеното криптиране на комуникации, което се използва за защита на информацията, изпращана по мрежи и интернет. Въпреки че предприятията и потребителите ще могат да активират отново протоколите, ако се нуждаят от обратна съвместимост, за да продължат да използват критично приложение, компаниите трябва да мигрират системите си към TLS v1.2 или 1.3, заяви Microsoft в последните си насоки.
От този месец компанията ще деактивира TLS v1.0 и v1.1 по подразбиране в Windows 11 Insider Preview, последвано от широко деактивиране в бъдещите версии на Windows.
„През последните няколко години интернет стандартите и регулаторните органи отхвърлиха или забраниха версиите TLS 1.0 и 1.1 поради различни проблеми със сигурността“, заяви Microsoft в друга консултация. „От няколко години следим използването на протокола TLS и смятаме, че данните за използването на TLS 1.0 и TLS 1.1 са достатъчно ниски, за да предприемем действия.“
Планираното преминаване идва шест месеца след като Google и нейният проект Chromium предложиха TLS сертификатите да имат максимален живот от 90 дни , което е по-малко от една четвърт от сегашния максимален срок на валидност от 398 дни.
Протоколът за сигурност на транспортния слой (TLS) – и неговият предшественик Secure Sockets Layer (SSL) – се превърнаха в стандартен начин за защита на данните при пренос в интернет. Въпреки това слабостите в SSL и по-ранните версии на TLS накараха технологични компании и организации, като фондация Mozilla, да настояват за приемането на по-сигурните версии на TLS. Стремежът към по-бързо изтичане на валидността на TLS сертификатите също така ще подтикне компаниите да автоматизират инфраструктурата си за сертификати, което ще доведе до по-добра гъвкавост в областта на сигурността, заяви проектът Chromium в предложението си от март за намаляване на срока на валидност на сертификатите.
„Намаляването на продължителността на живота на сертификатите насърчава автоматизацията и възприемането на практики, които ще откажат екосистемата от барокови, отнемащи време и предразполагащи към грешки процеси на издаване“, заяви групата. „Тези промени ще позволят по-бързото възприемане на нововъзникващите възможности за сигурност и най-добрите практики и ще насърчат гъвкавостта, необходима за бързото преминаване на екосистемата към квантово устойчиви алгоритми.“
Компаниите трябва първо да инвентаризират своите крайни точки на TLS, колекцията си от сертификати и да идентифицират други технически компоненти. Поради преминаването към по-кратки срокове на живот на сертификатите е необходимо автоматизирано управление на ключовете и сертификатите, казва Муралидхаран Паланисами, главен директор по решенията в AppViewX.
„Едно автоматизирано решение може непрекъснато да сканира вашите хибридни многооблачни среди, за да ви осигури видимост на криптоактивите ви и да поддържа актуализиран опис, за да открие изтекли и слаби сертификати“, казва той. „Пълната автоматизация на управлението на жизнения цикъл на сертификатите позволява сертификатите да бъдат презаверявани, автоматично подновявани и отменяни.“
Преминаването към TLS 1.3 вече е в ход. Повече от един на всеки пет сървъра (21%) използва TLS 1.3, според доклад на AppViewX, базиран на сканирания в интернет. По-новата технология има огромни предимства по отношение на производителността с нулево време за обмен на ключове в кръг и по-силна сигурност от TLS 1.2, предлагайки перфектна тайна напред (PFS), казва Паланисами.
Преминаването към такова повсеместно криптиране не е лишено от недостатъци. Организациите трябва да очакват, че поради широкото разпространение на TLS 1.3 и DNS-over-HTTPS в бъдеще мрежовият трафик вече няма да може да бъде проверяван – заявява Дейвид Холмс, главен анализатор във Forrester Research, в доклад за поддържане на видимост на сигурността в криптираното бъдеще.
„Тъй като тези промени набират скорост, инструментите за мониторинг на сигурността ще бъдат слепи за съдържанието и предназначението на трафика и няма да могат да откриват заплахи“, пише Холмс. „Мрежата ще бъде по-тъмна, отколкото някога е била. Както общностите на специалистите по сигурността, така и тези на доставчиците активно създават решения, които могат да върнат видимостта в мрежата.“
Като цяло уязвимостите в TLS са доста езотерична заплаха, с много теоретични слабости, но малко атаки, наблюдавани в реални условия, според Холмс. Нападателите рядко се насочват към проблеми с TLS, защото атакуването на инфраструктурата за криптиране по принцип е изключително сложно и изисква голяма подготовка.
И все пак, когато се открие уязвимост, последиците могат да бъдат повсеместни, тъй като инфраструктурата за криптиране TLS е повсеместно разпространена. През 2014 г. откриването на скандалната уязвимост Heartbleed в библиотеката OpenSSL доведе до надпревара за поправяне на големи сървъри, преди нападателите да успеят да се възползват от проблема, за да откраднат чувствителни данни от сървърите. Същата година откриването на уязвимост в Secure Sockets Layer (SSL) v3.0 позволяваше атака „машина в средата“ – най-известният пример за това е кодът за доказване на концепцията, наречен атака Padding Oracle on Downgraded Legacy Encryption (POODLE).
„Атаката POODLE беше критична уязвимост в SSLv3 – предшественика на TLS 1.0 – и нейното откриване доведе до деактивиране на този протокол в интернет на практика за една нощ – в рамките на няколко месеца, което е шокиращо бързо“, казва Холмс.
Въпреки че заплахите за TLS са сериозни, често те са знак, че дадено приложение или сървър са остарели, което често означава, че са налице значителен брой по-лесни за експлоатиране уязвимости, така че нападателите обикновено насочват вниманието си натам.
TLS 1.0 и 1.1 продължават да се поддържат, тъй като малък брой критични приложения, които е трудно, ако не и невъзможно, да бъдат поправени, разчитат на комуникационния протокол.
„Много от тях просто не могат да бъдат обновени – или вече щяха да са“, казва той. „Помислете за потребителските приложения, написани преди десетилетия за конкретно устройство, което работи само в няколко фабрики. Софтуерните екипи, които са създали тези приложения, са се разпуснали или пенсионирали отдавна, но приложението все още работи.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.