Tag Archive for: Internet Engineering Task Force

IETF udfaser officielt TLS 1.0 og TLS 1.1

Hvad har du brug for at vide?

Internet Engineering Task Force (IETF) har fastslået, at TLSv1.0 og TLSv1.1 ikke er sikre og ikke længere bør bruges. Baseret på disse resultater fraråder Twilio understøttelse af TLSv1.0 og TLSv1.1. Konti, der bruger disse forældede versioner af TLS, som ikke har aktiveret indstillingen “Tillad forældede SIP/TLS-versioner” (forklaret nedenfor), vil opleve fejl ved at placere eller modtage SIP/Trunking-opkald eller registrere SIP-slutpunkter.

Af sikkerhedsmæssige årsager har Internet Engineering Task Force officielt trukket TLS 1.0- og TLS 1.1-krypteringsprotokollerne tilbage efter at have opdaget adskillige angreb i de seneste år, der kompromitterede krypteret internetkommunikation, der er afhængig af begge protokoller. IETF anbefaler nu, at alle virksomheder, offentlige myndigheder eller softwareudviklere bruger de to seneste versioner af TLS-standarden – TLS 1.2 og TLS 1.3, som begge anses for at være sikre.

Den formelle udfasningsproces for begge protokoller begyndte på samme tid, i juni 2018, og blev drevet af IETF og softwareleverandører (inklusive alle større browserproducenter). Drivkraften bag afskrivningsprocessen var det store antal angreb, der blev opdaget i løbet af de sidste par år, og som brød krypteringsalgoritmerne bag begge protokoller.

Dette inkluderer angreb som BEAST, POODLE, ROBOT, SWEET 32, LUCKY 13 og flere, som alle viser, hvordan angribere kan udnytte svagheder i SSL og TLS 1.0/1.1 til at kompromittere krypteret kommunikation og målrette organisationer. De anbefalede handlinger for at rette alle disse sårbarheder er de samme – organisationer opfordres til at bruge nyere versioner af TLS, der understøtter stærkere krypteringsalgoritmer for at modstå angreb. Browserproducenter hjælper virksomheder med at erstatte TLS 1.0/1.1 Men mens TLS 1.0/1.1-afskrivningsprocessen officielt startede i juni 2018, annoncerede alle browserproducenter, inklusive Apple, Google, Microsoft og Mozilla, planer om at fjerne TLS 1.0 fra deres browserkode i oktober 2018 Og TLS 1.1, det fik det største løft.

Forskellige CERT’er og nationale sikkerhedsagenturer arbejder også på at advare og opmuntre virksomheder til at migrere deres it-infrastruktur til nyere standarder. En af de seneste bestræbelser kommer fra det skyggefulde amerikanske National Security Agency (NSA), som udgav et sjældent vejledningsdokument [PDF], der opfordrer virksomheder og statslige organisationer til at erstatte forældede protokoller som TLS 1.0 og TLS 1.1. 32 millioner enheder bruger stadig TLS 1.0/1.1 Men på trods af disse bestræbelser halter nogle organisationer stadig bagud, eller de to protokoller bliver muligvis aldrig erstattet, fordi de servere, de kommer med, kører på enheder uden en opdateringsmekanisme. I øjeblikket eksponerer mere end 32 millioner servere og enheder stadig TLS 1.0- og TLS 1.1-forbindelsespunkter online, ifølge IoT-søgemaskinen Shodan.