NSA μην χρησιμοποιείτε SSL 2.0, SSL 3.0, TLS 1.0 και TLS 1.1

Ο Υπηρεσία Εθνικής Ασφάλειας (NSA) των ΗΠΑ εξέδωσε μια ανακοίνωση ασφαλείας [PDF] αυτόν τον μήνα προτρέποντας τους διαχειριστές συστημάτων σε ομοσπονδιακές υπηρεσίες και πέραν αυτών να σταματήσουν να χρησιμοποιούν παλιά και ξεπερασμένα πρωτόκολλα TLS.

“Η NSA συνιστά να χρησιμοποιούνται μόνο τα TLS 1.2 ή TLS 1.3 και να μην χρησιμοποιούνται τα SSL 2.0, SSL 3.0, TLS 1.0 και TLS 1.1”, αναφέρει η υπηρεσία.

“Η χρήση ξεπερασμένης κρυπτογράφησης παρέχει μια ψευδή αίσθηση ασφάλειας, επειδή φαίνεται ότι προστατεύονται ευαίσθητα δεδομένα, παρόλο που δεν είναι έτσι πραγματικά”.

Ακόμα κι αν η υπηρεσία προτείνει τα TLS 1.2 και TLS 1.3, η NSA προειδοποιεί να μην ρυθμίσετε αυτά τα δύο πρωτόκολλα με αδύναμες κρυπτογραφικές παραμέτρους.

“Οι ιδιαίτερα αδύναμοι αλγόριθμοι κρυπτογράφησης στο TLS 1.2 ορίζονται σαν NULL, RC2, RC4, DES, IDEA και TDES/3DES. Οι κρυπτογραφικές σουίτες που χρησιμοποιούν αυτούς τους αλγόριθμους δεν πρέπει να χρησιμοποιούνται”, συνεχίζει η υπηρεσία.

“Το TLS 1.3 καταργεί αυτές τις κρυπτογραφικές σουίτες, αλλά τα implementations που υποστηρίζουν τόσο το TLS 1.3 όσο και το TLS 1.2 θα πρέπει να ελέγχονται για ξεπερασμένες σουίτες κρυπτογράφησης.”

  5 συμβουλές για την ασφάλεια του γραφείου σας χωρίς ειδικούς

Η Αμερικανική υπηρεσία ασφαλείας δημοσίευσε μια λίστα εργαλείων στο προφίλ της στο GitHub για να βοηθήσει τους διαχειριστές συστημάτων να εντοπίσουν συστήματα στα εσωτερικά τους δίκτυα που χρησιμοποιούν ακόμη παρωχημένα πρωτόκολλα TLS

Η ανακοίνωση της NSA, που δημοσιεύθηκε στις 5 Ιανουαρίου, επαναλήφθηκε χθες από τον ομόλογό της στην Ολλανδία, το Εθνικό Κέντρο Ασφάλειας στον κυβερνοχώρο της Ολλανδίας.

Σε μια παρόμοια ειδοποίηση [PDF], η Ολλανδική NCSC συστήνει επίσης σε όλες τις ολλανδικές κυβερνητικές υπηρεσίες και ιδιωτικές εταιρείες να μετακινηθούν στο TLS 1.3.

Στα μέσα του 2020, τα μεγάλα προγράμματα περιήγησης σταμάτησαν να υποστηρίζουν τα TLS 1.0 και TLS 1.1, αναφέροντας λόγους ασφαλείας. Τον Μάρτιο του 2020, η εταιρεία ασφαλείας Netcraft ανέφερε ότι περίπου 850.000 ιστότοποι χρησιμοποιούσαν ακόμα τα TLS 1.0 και TLS 1.1 για να κρυπτογραφήσουν την κυκλοφορία με HTTPS, ένας αριθμός που έκτοτε μειώνεται πολύ αργά.

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται.

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


  +  7  =  13