Giriş
Bu yılın başlarında Ödeme Kartı Endüstrisi (PCI) Standartları Güvenlik Konseyi (SSC) kullanımdan kaldırıldı TLS Sürüm 1.0, Veri Güvenliği Standartlarında (DSS) [01]. Sonuç olarak, 2018 yazından itibaren, tüm PCI-DSS uyumlu e-ticaret sitelerinin artık bu erken, güvenli olmayan sürümünü kullanmaması gerekir TLS. Bu karar güçlendirmek için diğer hamlelere benzer TLS - örneğin, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) kullanımdan kaldırıldı (2014'ten beri) TLS 1.0 kendi hükümet kılavuzlarında [02] ve bu da birkaç kuruluşu sistemlerinden 1.2'den önceki sürümlere destek bırakmaya motive etmiştir.
TLS son derece teknik bir konudur. Bu makalede, bu kararların ardındaki nedenler açıklanmakta ve ne kadar eski TLS sürümleri daha güvenli ve daha iyi bir İnternet için bir adımdır.
Taşıma katmanı Güvenliği (TLS)
TLS bir bilgisayar ağı üzerinden verilerin aktarılmasından veya değiştirilmesinden korunmasını sağlayan bir şifreleme protokolüdür. TLS önceki Güvenli Yuva Katmanı (SSL) protokolünün halefidir ve temelini oluşturur. Yayınlandığı 1999 [03] yılından bu yana, TLS şaşırtıcı derecede çeşitli ve yaygın bir uygulama dizisi tarafından benimsenmiştir ve iki uç arasındaki iletişimi korumak isteyen hemen hemen her uygulamada kullanılabilir. (Teknik konuşmada, bunlar genellikle müşteri ve sunucu.)
İçin en iyi bilinen kullanım TLS tarayıcılar ve HTTPS web siteleri (SSL.com sunucularında okuduğunuz bu makale gibi) arasındaki bağlantıları korumaktır. Ayrıca, arka uç sunucularıyla (kredi kartı bilgilerini korumak için) iletişim kuran satış noktası (POS) terminalleri tarafından ve anlık mesajlaşma uygulamaları, e-posta istemcileri, IP üzerinden ses (VoIP) yazılımı ve daha pek çok şey tarafından kullanılır. .
Şu anda, TLS Mevcut:
- TLS 1.0 (1999'da piyasaya sürüldü) ilk sürümdü ve şimdi kullanımdan kaldırılıyor.
- TLS 1.1 (2006'da piyasaya sürüldü) endüstri tarafından asla kabul edilmedi. Büyük ölçüde halefi 1.2 lehine atlandı.
- TLS 1.2 (2008'de piyasaya sürüldü) en yaygın kullanılan TLS sürümü. Hemen hemen tüm hizmetler desteği TLS 1.2 varsayılan olarak.
- TLS 1.3 (2018'de piyasaya sürüldü), TLS eski sürümlerden daha fazla performans ve güvenlik sunan protokol. Hâlâ araştırma aşamasında olmasına rağmen henüz resmi olarak standardize edilmemiş olsa da [04], endüstrinin taslak versiyonları için destek uygulamaya başladığına dikkat edilmelidir.
Modern vs erken TLS
En erken güvenlik açıkları TLS 1.0 protokolü son birkaç yıldır siber güvenlik topluluğunu ilgilendirdi ve POODLE, CRIME ve BEAST gibi istismarların ana akım medyaya bile ulaşmak için yeterli etkisi oldu. Ancak, TLS sürekli yeni tehditleri karşılamak için gelişmektedir; ilk sürümünde geliştirme çabaları TLS, İnternet Mühendisliği Görev Gücü (IETF) Ağ Çalışma Grubu (NWG) tarafından yürütülen, daha iyi ve daha güvenli mevcut standart ile sonuçlandı, TLS 1.2
TLS 1.2 modern şifreleme kullanır ve öncekilerden daha iyi performans ve güvenlik sunar. Aynı zamanda, yukarıda belirtilen güvenlik açıklarından herhangi birine karşı hassas değildir, bu da onu güvenli iletişimdeki herhangi bir uygulama için ideal bir seçim haline getirir. Çoğu şirket ve kuruluş, sunucularını destekleyecek şekilde yükseltti TLS 1.2
Ancak, tüm istemci yazılımları daha yeni sürümlerine yükseltilemez. TLS. Örneğin, bir haber web sitesine hem modern hem de eski tarayıcılar tarafından erişilebilir olmalıdır, çünkü onları kullanan okuyucular hala vardır. Bu, sürüm 5.0'dan önceki Android cihazları, Microsoft'un 11'den önceki Internet Explorer programını, Java sürüm 1.7'den önceki Java programlarını ve hatta bazı uzaktan ödeme terminallerini veya yükseltmesi maliyetli izleme ekipmanlarını içerir. Dahası, eski konfigürasyonlarla uyumluluk, modern istemci yazılımlarının bile güncel olmayan sunucularla iletişim kurabilmesini gerektirir.
Alexa'nın En İyi 05 sitesiyle ilgili istatistikleri raporlayan SSL Pulse [500] hizmetine göre TLS desteği, Ocak 2018 itibarıyla, izlenen web sitelerini barındıran sunucuların% 90.6'sı desteklenmektedir TLS 1.0,% 85 desteklenirken TLS 1.1. Ayrıca, hemen hemen tüm tarayıcılar (ve birçok tarayıcı olmayan istemci) hala eski sürümleri destekler TLS sürümleri. Böylece, TLS 1.2 tercih edilir, çoğu istemci ve sunucu hala erken destekler TLS.
TLS Güvenlik Hususları
Modern tarayıcıların ve istemcilerin çoğunluğu TLS 1.2, teknik olmayan bir kullanıcı güvenli olması gerektiğini düşünebilir (ve yükseltilmemiş sistemlerin iş riski olarak kabul edilmiş olması gerekir). Ne yazık ki, bu doğru değil - sadece önceki sürümleri için destek almak TLS modern istemcilerin ve sunucuların kullanıcıları için bile bir güvenlik tehdidi oluşturur.
TLS ağ güvenliği sağlar ve birincil hedefi bir saldırganın bir ağın düğümleri arasında alışverişi yapılan verileri okumasını veya değiştirmesini önlemektir. Bu nedenle, Ortadaki Adam (MITM) saldırıları gibi ağ saldırılarını azaltır [05]. Bir MITM saldırısı, bir bilgisayar ağının manipüle edilebileceği gerçeğinden yararlanır, böylece bir ağın tüm düğümleri trafiklerini beklenen yönlendirici veya diğer düğümler yerine saldırgana gönderir. Saldırgan daha sonra hedeflenen hedefe aktarmadan önce yakalanan içeriği okuyabilir veya değiştirebilir. TLS yalnızca orijinal istemci ve sunucu tarafından bilinen gizli bir anahtarla verileri şifreleyerek MITM saldırılarına karşı koruma sağlar. Bu gizli anahtar bilgisi olmayan bir MITM saldırganı şifrelenmiş verileri okuyamaz veya bunlara müdahale edemez.
Bununla birlikte, TLS istemciler ve sunucular arasındaki sürümler eşleşmelidir ve genellikle birden çok TLS sürümlerinde, hangi sürümün tokalaşma. Bu el sıkışmasında, müşteri en yüksek mesajı belirten bir ilk mesaj gönderir. TLS sürümü destekler. Sunucu daha sonra seçilen ile yanıt verir TLS sürümü veya ortak bir sürüm bulunmazsa hata. Bu bilgi güvenli veri kanalını yapılandırmak için kullanıldığından, el sıkışma mesajlarının şifrelenmemiş olarak değiştirildiğini unutmayın.
Eski sürüme geçme saldırıları
Özenli okuyucu, el sıkışma şifrelenmediğinden, MITM saldırısı gerçekleştiren bir saldırganın istenen TLS daha eski, savunmasız birine TLS 1.0. Daha sonra yukarıda belirtilenlerden herhangi birini kullanmaya devam edebilirler. TLS Bağlantıdan ödün vermek için 1.0 güvenlik açığı (POODLE veya CRIME gibi).
Yazılım güvenliğinde, mağdurları daha eski ve daha savunmasız yazılım sürümlerini kullanmaya zorlayan saldırılar denir düşürme saldırıları. Herhangi bir iletişim kuralı güvenlik açığından yararlanan saldırganların temelde aynı amacı vardır: ağ güvenliğini tehlikeye atmak ve takas edilen verilere erişmek. Bu güvenlik açıklarının teknik nüansları, kullanımdan kaldırılmasıyla ilgili değildir TLS 1.0 (ve bu tür saldırılarla ilgili ayrıntılar sağlamak bu makalenin kapsamı dışındadır), ancak yazar, teknik olmayan saldırganların bile eski sürüme geçme saldırıları gerçekleştirmesine izin veren halka açık araçlar olduğunu vurgulamak ister. Havaalanında uçmadan önce veya bir kafede bir çevrimiçi bankacılık uygulamasında bakiyenizi kontrol ederken postanızı okumak için güncel cep telefonunuzu kullandığınızı düşünün. Telefonunuzun tarayıcısı veya bankacılık uygulamanız, daha eski sürümlerini kullanan bağlantılara izin veriyorsa, bu araçlara sahip hazırlanmış bir saldırgan bilgilerinize müdahale edebilir veya bunlara müdahale edebilir TLS.
Aslında, ağ bağlantınızdaki sunucular ve istemciler eski sürümleri desteklediği sürece TLS onlar (ve siz) savunmasız.
Etkilendim mi?
Bu riski azaltmak için PCI SSC ve NIST kullanımdan kaldırıldı TLS Standartlarına uygun sistemlerde 1.0. Süre TLS 1.1, keşfedilen tüm güvenlik açıklarına karşı savunmasız değildir, piyasada hiçbir zaman gerçekten kabul edilmemiştir ve birçok şirket ve kuruluş yakın zamanda TLS 1.1 de. Yine, kullanımdan kaldırılmasının ardından Temmuz 2018 itibariyle SSL Darbe verilerine bakıldığında TLS 1.0, izlenen web sitelerinin yalnızca% 76.6'sı hala destekliyor TLS 1.0 ve sadece% 80.6 destek TLS 1.1. Bu, bu standartlarda yapılan değişikliklerin bir etkisi olduğu ve yaklaşık 16,000 büyük sitenin düştüğü anlamına gelir herşey erken destek TLS sürümleri.
Eski sürüme geçirme saldırıları hem istemciler hem de sunucular için geçerlidir. İlgili okuyucular ssltestücretsiz olarak kullanılabilen bir tarayıcı aracı [07] ve Web Sunucusu aracı [08] ile yazılımlarını bu güvenlik açıklarına karşı kontrol edebilen halka açık bir araç takımıdır.
Sunucularınız hala savunmasız kalmayı destekliyorsa TLS sürümler için lütfen SSL.com'un en güvenli standartlarla uyumluluk için web sunucularını yapılandırma kılavuzunu izleyin.
SSL.com tarafından verilen dijital sertifikalar, TLS, bu nedenle herhangi bir işlem yapılması gerekmez.
Sonuç
TLS İnternet kullanıcılarına güvenlik ve gizlilik sunar. Yıllar geçtikçe, araştırmacılar, çoğu şirketi sistemlerini daha modern kullanmak için yükseltmeye motive eden önemli protokol güvenlik açıkları keşfetti TLS sürümleri. Bununla birlikte, gösterilen güvenlik endişelerine rağmen, eski müşterilere destek bir iş gereksinimi olmaya devam etmektedir. Umarım, PCI SSC ve NIST ile birlikte erken kullanımdan kaldırmayı seçen diğer kuruluşlar TLS, daha güvenli, daha iyi ve daha güvenli bir internet sağlamak için başkalarına kendilerine ve SSL.com'a katılmaları için ilham verecektir.
