Introduktion
Tidligere i år afskrev betalingskortindustrien (PCI) Standardsikkerhedsråd (SSC) TLS version 1.0 i deres Data Security Standard (DSS) [01]. Som et resultat, starter sommeren 2018, skal alle PCI-DSS-kompatible e-handelswebsteder ikke længere bruge denne tidlige, usikre version af TLS. Denne beslutning ligner andre tiltag til styrkelse TLS - for eksempel afskaffede National Institute of Standards and Technology (NIST) (siden 2014) TLS 1.0 i deres regeringsretningslinjer [02], og sammen har dette motiveret flere organisationer til at droppe støtte til versioner før 1.2 fra deres systemer.
TLS er et meget teknisk emne. Denne artikel forklarer årsagerne til disse beslutninger og viser, hvordan depræsenteret ældre TLS versioner er et skridt til et sikrere og bedre internet.
Transportlagsikkerhed (TLS)
TLS er en kryptografisk protokol, der beskytter data mod at blive læst eller ændret under transit over et computernetværk. TLS er efterfølgeren til og bygger videre på grundlaget for den tidligere SSL-protokol (Secure Sockets Layer). Siden 1999 [03], da den blev offentliggjort, TLS er blevet vedtaget af en overraskende forskelligartet og udbredt række applikationer og kan bruges i næsten enhver applikation der ønsker at beskytte kommunikationen mellem to ender. (I teknisk tale kaldes disse ofte kunde , server.)
Den mest kendte anvendelse til TLS er at beskytte forbindelser mellem browsere og HTTPS-websteder (såsom denne artikel, du læser på SSL.coms servere). Det bruges også af POS-terminaler, der kommunikerer med deres back-end-servere (for at beskytte kreditkortoplysninger) og af instant messaging-applikationer, e-mail-klienter, voice-over IP (VoIP) software og mange flere .
I øjeblikket er der fire versioner af TLS til rådighed:
- TLS 1.0 (frigivet i 1999) var den første version og udskrives nu.
- TLS 1.1 (frigivet i 2006) blev aldrig vedtaget af branchen. Det blev stort set springet over til fordel for dens efterfølger 1.2.
- TLS 1.2 (udgivet i 2008) er den mest anvendte TLS version. Næsten alle tjenester understøtter TLS 1.2 som standard.
- TLS 1.3 (udgivet i 2018) er en eksperimentel version af TLS protokol, der tilbyder mere ydelse og sikkerhed end ældre versioner. Selvom det stadig er under forskning og endnu ikke officielt standardiseret [04], skal det bemærkes, at industrien begynder at implementere støtte til sine udkast til versioner.
Moderne vs tidligt TLS
Sårbarheder tidligst TLS 1.0-protokollen har berørt cybersikkerhedssamfundet i de sidste par år, og sådanne udnyttelser som POODLE, CRIME og BEAST har haft tilstrækkelig indflydelse til endda at nå mainstream-medierne. Imidlertid, TLS udvikler sig konstant for at imødekomme nye trusler; bestræbelser på at forbedre den første version af TLS, udført af Internet Engineering Task Force (IETF) Network Working Group (NWG), har resulteret i en bedre og mere sikker nuværende standard, TLS 1.2.
TLS 1.2 bruger moderne kryptografi og tilbyder bedre ydelse og sikkerhed end dens forgængere. Samtidig er det ikke følsomt over for nogen af de ovenfor nævnte sårbarheder, hvilket gør det til et ideelt valg til enhver applikation i sikker kommunikation. De fleste virksomheder og organisationer har opgraderet deres servere til support TLS 1.2.
Imidlertid kan ikke al klientsoftware opgraderes til nyere versioner af TLS. For eksempel skal et nyhedswebsted være tilgængeligt for både moderne og ældre browsere, simpelthen fordi der stadig er læsere, der bruger dem. Dette inkluderer Android-enheder før version 5.0, Microsofts Internet Explorer før 11, Java-programmer før Java version 1.7 og endda nogle eksterne betalingsterminaler eller overvågningsudstyr, der er dyrt at opgradere. Desuden kræver kompatibilitet med ældre konfigurationer, at selv moderne klientsoftware også skal kunne kommunikere med forældede servere.
Ifølge SSL Pulse [05], en tjeneste, der rapporterer statistik på Alexa's 500 bedste websteder TLS support pr. januar 2018 understøttede 90.6% af serverne, der er vært for overvågede websteder TLS 1.0, mens 85% understøttes TLS 1.1. Desuden understøtter næsten alle browsere (og mange ikke-browserklienter) stadig ældre TLS versioner. Således mens TLS 1.2 foretrækkes, de fleste klienter og servere understøtter stadig tidligt TLS.
TLS sikkerhedshensyn
Da flertallet af moderne browsere og klienter implementerer TLS 1.2, kunne en ikke-teknisk bruger mene, at de skulle være sikre (og at de systemer, der ikke er opgraderet, skal have været accepteret som forretningsrisici). Desværre er dette ikke sandt - bare at have støtte til tidligere versioner af TLS udgør en sikkerhedstrussel for brugere af selv moderne klienter og servere.
TLS leverer netværkssikkerhed, og dets primære mål er at forhindre en hacker i at læse eller ændre data, der udveksles mellem noder i et netværk. Derfor mindsker det netværksangreb, som f.eks. Man-in-the-Middle-angreb (MITM) -angreb [05]. Et MITM-angreb udnytter det faktum, at et computernetværk kan manipuleres, så alle noder i et netværk sender deres trafik til angriberen i stedet for den forventede router eller andre noder. Angriberen kan derefter læse eller ændre det aflyttede indhold, før det videresendes til det tilsigtede mål. TLS beskytter mod MITM-angreb ved at kryptere dataene med en hemmelig nøgle, der kun er kendt af den originale klient og server. En MITM-angriber uden kendskab til denne hemmelige nøgle kan ikke læse eller manipulere med de krypterede data.
Imidlertid TLS versioner mellem klienter og servere skal matche, og da de ofte understøtter flere TLS versioner forhandler de hvilken version der skal bruges gennem en protokol kaldet a håndtryk. I dette håndtryk sender klienten en indledende meddelelse med angivelse af den højeste TLS version den understøtter. Serveren reagerer derefter med den valgte TLS version eller en fejl, hvis der ikke findes nogen almindelig version. Husk, at håndtrykmeddelelserne udveksles ukrypteret, fordi disse oplysninger bruges til at konfigurere den sikre datakanal.
Nedgrader angreb
Den opmærksomme læser kan allerede allerede have mistanke om, at da en håndtryk ikke er krypteret, kunne en angriber, der udfører et MITM-angreb, se og ændre det anmodede TLS version til en tidligere, sårbar en lignende TLS 1.0. De kunne derefter fortsætte med at bruge noget af det nævnte TLS 1.0 sårbarheder (som POODLE eller CRIME) for at kompromittere forbindelsen.
I softwaresikkerhed kaldes angreb, der tvinger ofrene til at bruge ældre, mere sårbare versioner af software nedgradere angreb. Angribere, der udnytter enhver protokolsårbarhed, har i det væsentlige samme mål: kompromittere netværkssikkerhed og få adgang til udvekslede data. De tekniske nuancer af disse sårbarheder er ikke relevante for værdien af TLS 1.0 (og at give detaljer om sådanne angreb er uden for denne artikels rækkevidde), men forfatteren vil gerne understrege, at der er offentligt tilgængelige værktøjer, der tillader selv ikke-tekniske angribere at udføre nedgraderingsangreb. Forestil dig at bruge din opdaterede mobiltelefon til at læse din mail, før du flyver i lufthavnen, eller når du kontrollerer din saldo i en online-bankapplikation på en café. En forberedt angriber med disse værktøjer kan opsnappe eller endda manipulere med dine oplysninger, hvis din telefons browser eller din bankapplikation tillader forbindelser, der bruger ældre versioner af TLS.
Faktisk så længe servere og klienter i din netværksforbindelse understøtter ældre TLS versioner, de (og du) er sårbare.
Er jeg berørt?
For at mindske denne risiko er PCI SSC og NIST udskrevet TLS 1.0 i systemer, der er i overensstemmelse med deres standarder. Mens TLS 1.1 er ikke sårbar over for alle de opdagede sårbarheder, den blev aldrig rigtig vedtaget på markedet, og mange virksomheder og organisationer har for nylig droppet støtte til TLS 1.1 også. Igen ser vi på SSL Pulse-data fra juli 2018 efter afskrivningen af TLS 1.0, kun 76.6% af de overvågede websteder understøtter stadig TLS 1.0 og kun 80.6% support TLS 1.1. Det betyder, at ændringerne, der blev indført i disse standarder, har haft effekt, og omkring 16,000 større websteder er faldet alle støtte til tidligt TLS versioner.
Nedgraderingsangreb gælder både for klienter og servere. Bekymrede læsere kan bruge ssltest, et offentligt tilgængeligt værktøjssæt, der kan kontrollere deres software for disse sårbarheder, med et browserværktøj [07] og webserverværktøj [08], som kan bruges gratis.
Hvis dine servere stadig understøtter sårbare TLS versioner, se efter SSL.coms kommende guide til konfiguration af webservere for overholdelse af de mest sikre standarder.
Digitale certifikater udstedt af SSL.com fungerer med alle versioner af TLS, så ingen handling er påkrævet.
Konklusion
TLS tilbyder sikkerhed og privatliv til internetbrugere. I årenes løb har forskere opdaget betydelige protokollesårbarheder, som har motiveret de fleste virksomheder til at opgradere deres systemer til at bruge mere moderne TLS versioner. På trods af de påviste sikkerhedsmæssige betænkeligheder er support til ældre kunder dog et forretningsmæssigt krav. Forhåbentlig PCI SSC og NIST sammen med andre organisationer, der har valgt at afskrives tidligt TLS, vil inspirere andre til at slutte sig til dem og SSL.com til at fremme et mere sikkert, bedre og mere sikkert internet.
