SSL и TLS 1

Дома »SSL и TLS 1.0 веќе не се доволни за усогласеност со PCI

2014 година

Во април, Советот за PCI ја објави верзијата 3.1 од неговиот стандард за безбедност на податоци PCI-DSS. Иако повеќето од промените во ова мало издание се повеќе разјаснување, има барем едно големо ажурирање во врска со протоколите за безбедна комуникација: Советот одлучи дека SSL и TLS 1.0 веќе не може да се користат по 30 јуни 2016 година.

За фино печатење за овие два протокола, видете Барање 2.0: "Не користете ниту една од стандардните поставки што ги доставува продавачот за лозинки на системот и други безбедносни параметри".

Претпоставувам дека протоколите SSL (Secure Socket Layer) и TLS (Transport Layer Security) развиени од Netscape спаѓаат во описот како „други безбедносни параметри“.

Збогум SSL
Во секој случај, Советот реагира на добро познатата експлоатација на SSL POODLE и изјавата на американската владина агенција NIST (Национален институт за стандарди и технологија) на тема SSL. НИСТ објави во април 2014 година, SSL повеќе не треба да се користи за заштита на информации во владини агенции.

За да се разбере улогата на TLS, помага да се знае нејзината историја.

Верзијата TLS 1.0 TLS е развиена од групата IETF во 90-тите години и во голема мера се засновала на SSL. Целта беше да се создаде единствено, незаштитено безбедносно решение за решавање на проблеми со компатибилноста. Голем број криптографски подобрувања се имплементирани во TLS 1.1 и тековната верзија 1.2.

Важна точка е дека имплементациите на TLS поддржуваат процес на преговори за намалување на рејтингот во кој клиентот и серверот можат да се договорат за послабиот SSL протокол ако комуникацијата прво се одвива преку новиот TLS 1.2.

SSL нападот POODLE го користи токму овој механизам за деградирање принудувајќи го серверот да го користи застарениот протокол SSL. Во теорија, нападот исто така го прави TLS ранлив.

Во декември 2014 година, безбедносните истражувачи открија дека напад сличен на OODУБРИЛ е во состојба директно да го нападне TLS, т.е. без да преговара за намалување на рејтингот.

Генерално, темата се комплицира прилично брзо и мислењата за тоа варираат многу. Некои експерти за безбедност ги обвинуваат продавачите на прелистувачи дека ставаат компатибилност над безбедносните барања со тоа што продолжуваат да ја поддржуваат SSL; други ја обвинуваат целата индустрија за проблемот затоа што веруваат дека стандардот TLS не е имплементиран правилно.

Интересна дискусија за ова прашање може да се најде на оваа страница за прашања и одговори на Stack Exchange.

Што можеш да направиш?
Советот препорачува повеќе да не се поддржуваат SSL 3.0 и TSL 1.0. Накратко: Треба да го деактивирате SSL на сите сервери и клиенти и идеално да префрлите сè целосно на TLS 1.2.

Сепак, TLS 1.1 е прифатлив ако е правилно конфигуриран. Советот се повикува на водич објавен од NIST кој ја опишува оваа конфигурација.