Търсене
Close this search box.

Microsoft и Google се заемат с остарелите TLS протоколи

Microsoft планира да деактивира по-старите версии на протокола TLS (Transport Layer Security) – широко разпространеното криптиране на комуникации, което се използва за защита на информацията, изпращана по мрежи и интернет. Въпреки че предприятията и потребителите ще могат да активират отново протоколите, ако се нуждаят от обратна съвместимост, за да продължат да използват критично приложение, компаниите трябва да мигрират системите си към TLS v1.2 или 1.3, заяви Microsoft в последните си насоки.

От този месец компанията ще деактивира TLS v1.0 и v1.1 по подразбиране в Windows 11 Insider Preview, последвано от широко деактивиране в бъдещите версии на Windows.

„През последните няколко години интернет стандартите и регулаторните органи отхвърлиха или забраниха версиите TLS 1.0 и 1.1 поради различни проблеми със сигурността“, заяви Microsoft в друга консултация. „От няколко години следим използването на протокола TLS и смятаме, че данните за използването на TLS 1.0 и TLS 1.1 са достатъчно ниски, за да предприемем действия.“

Планираното преминаване идва шест месеца след като Google и нейният проект Chromium предложиха TLS сертификатите да имат максимален живот от 90 дни , което е по-малко от една четвърт от сегашния максимален срок на валидност от 398 дни.

Протоколът за сигурност на транспортния слой (TLS) – и неговият предшественик Secure Sockets Layer (SSL) – се превърнаха в стандартен начин за защита на данните при пренос в интернет. Въпреки това слабостите в SSL и по-ранните версии на TLS накараха технологични компании и организации, като фондация Mozilla, да настояват за приемането на по-сигурните версии на TLS. Стремежът към по-бързо изтичане на валидността на TLS сертификатите също така ще подтикне компаниите да автоматизират инфраструктурата си за сертификати, което ще доведе до по-добра гъвкавост в областта на сигурността, заяви проектът Chromium в предложението си от март за намаляване на срока на валидност на сертификатите.

„Намаляването на продължителността на живота на сертификатите насърчава автоматизацията и възприемането на практики, които ще откажат екосистемата от барокови, отнемащи време и предразполагащи към грешки процеси на издаване“, заяви групата. „Тези промени ще позволят по-бързото възприемане на нововъзникващите възможности за сигурност и най-добрите практики и ще насърчат гъвкавостта, необходима за бързото преминаване на екосистемата към квантово устойчиви алгоритми.“

Време е да преминете към TLS 1.3

Компаниите трябва първо да инвентаризират своите крайни точки на TLS, колекцията си от сертификати и да идентифицират други технически компоненти. Поради преминаването към по-кратки срокове на живот на сертификатите е необходимо автоматизирано управление на ключовете и сертификатите, казва Муралидхаран Паланисами, главен директор по решенията в AppViewX.

„Едно автоматизирано решение може непрекъснато да сканира вашите хибридни многооблачни среди, за да ви осигури видимост на криптоактивите ви и да поддържа актуализиран опис, за да открие изтекли и слаби сертификати“, казва той. „Пълната автоматизация на управлението на жизнения цикъл на сертификатите позволява сертификатите да бъдат презаверявани, автоматично подновявани и отменяни.“

Преминаването към TLS 1.3 вече е в ход. Повече от един на всеки пет сървъра (21%) използва TLS 1.3, според доклад на AppViewX, базиран на сканирания в интернет. По-новата технология има огромни предимства по отношение на производителността с нулево време за обмен на ключове в кръг и по-силна сигурност от TLS 1.2, предлагайки перфектна тайна напред (PFS), казва Паланисами.

Много организации използват TLS 1.2 вътрешно и TLS 1.3 външно.

Преминаването към такова повсеместно криптиране не е лишено от недостатъци. Организациите трябва да очакват, че поради широкото разпространение на TLS 1.3 и DNS-over-HTTPS в бъдеще мрежовият трафик вече няма да може да бъде проверяван – заявява Дейвид Холмс, главен анализатор във Forrester Research, в доклад за поддържане на видимост на сигурността в криптираното бъдеще.

„Тъй като тези промени набират скорост, инструментите за мониторинг на сигурността ще бъдат слепи за съдържанието и предназначението на трафика и няма да могат да откриват заплахи“, пише Холмс. „Мрежата ще бъде по-тъмна, отколкото някога е била. Както общностите на специалистите по сигурността, така и тези на доставчиците активно създават решения, които могат да върнат видимостта в мрежата.“

POODLE, Heartbleed и други редки породи

Като цяло уязвимостите в TLS са доста езотерична заплаха, с много теоретични слабости, но малко атаки, наблюдавани в реални условия, според Холмс. Нападателите рядко се насочват към проблеми с TLS, защото атакуването на инфраструктурата за криптиране по принцип е изключително сложно и изисква голяма подготовка.

И все пак, когато се открие уязвимост, последиците могат да бъдат повсеместни, тъй като инфраструктурата за криптиране TLS е повсеместно разпространена. През 2014 г. откриването на скандалната уязвимост Heartbleed в библиотеката OpenSSL доведе до надпревара за поправяне на големи сървъри, преди нападателите да успеят да се възползват от проблема, за да откраднат чувствителни данни от сървърите. Същата година откриването на уязвимост в Secure Sockets Layer (SSL) v3.0 позволяваше атака „машина в средата“ – най-известният пример за това е кодът за доказване на концепцията, наречен атака Padding Oracle on Downgraded Legacy Encryption (POODLE).

„Атаката POODLE беше критична уязвимост в SSLv3 – предшественика на TLS 1.0 – и нейното откриване доведе до деактивиране на този протокол в интернет на практика за една нощ – в рамките на няколко месеца, което е шокиращо бързо“, казва Холмс.

Въпреки че заплахите за TLS са сериозни, често те са знак, че дадено приложение или сървър са остарели, което често означава, че са налице значителен брой по-лесни за експлоатиране уязвимости, така че нападателите обикновено насочват вниманието си натам.

TLS 1.0 и 1.1 продължават да се поддържат, тъй като малък брой критични приложения, които е трудно, ако не и невъзможно, да бъдат поправени, разчитат на комуникационния протокол.

„Много от тях просто не могат да бъдат обновени – или вече щяха да са“, казва той. „Помислете за потребителските приложения, написани преди десетилетия за конкретно устройство, което работи само в няколко фабрики. Софтуерните екипи, които са създали тези приложения, са се разпуснали или пенсионирали отдавна, но приложението все още работи.“

Източник: DARKReading

Подобни публикации

14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
13 април 2024

На федералните агенции на САЩ е наредено да тър...

В четвъртък Агенцията за киберсигурност и инфраструктурна сигурност...
13 април 2024

Latrodectus продължава там, където QBot спря

Брокерите за първоначален достъп използват новия зловреден софтуер ...
12 април 2024

Oracle увеличава усилията си в областта на суве...

Техническият директор и председател на Oracle Лари Елисън очаква пр...
Бъдете социални
Още по темата
12/04/2024

Oracle увеличава усилията с...

Техническият директор и председател на Oracle...
09/04/2024

Спад на атаките с рансъмуер...

През 2023 г. секторът на ransomware...
25/03/2024

ООН прие резолюция за гара...

В четвъртък Общото събрание одобри първата...
Последно добавени
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
14/04/2024

Критичен недостатък на Palo...

Palo Alto Networks предупреждава, че критичен...
13/04/2024

Подъл скимер на кредитни ка...

Изследователи в областта на киберсигурността са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!