Leath na suíomhanna , agus tá a líon ag méadú go seasta. Laghdaíonn an prótacal an baol idircheapadh tráchta, ach ní chuireann sé deireadh le hionsaithe iarrachta mar sin. Labhróimid faoi chuid acu - POODLE, BEAST, DROWN agus daoine eile - agus modhanna cosanta inár n-ábhar.
/flickr/ / CC BY-SA
POODLE
Don chéad uair faoin ionsaí tháinig aithne air in 2014. D'aimsigh an speisialtóir slándála faisnéise Bodo Möller agus comhghleacaithe ó Google leochaileacht sa phrótacal SSL 3.0.
Is é seo a leanas a bunúsach: cuireann an hacker iallach ar an gcliant ceangal trí SSL 3.0, ag aithris sosanna nasc. Ansin cuardaigh sé sa criptithe -Traffic mód teachtaireachtaí chlib speisialta. Ag baint úsáide as sraith iarratas brionnaithe, tá ionsaitheoir in ann ábhar na sonraí spéise a athchruthú, mar fhianáin.
Is prótacal as dáta é SSL 3.0. Ach tá ceist a sábháilteachta fós ábhartha. Úsáideann cliaint é chun saincheisteanna comhoiriúnachta le freastalaithe a sheachaint. De réir roinnt sonraí, beagnach 7% de na 100 míle suíomh is coitianta . Chomh maith leis sin modhnuithe ar POODLE a dhíríonn ar TLS 1.0 níos nua-aimseartha agus TLS 1.1. An bhliain seo ionsaithe nua Zombie POODLE agus GOLDENDOODLE a sheachbhóthar cosaint TLS 1.2 (tá baint acu fós le criptiú CBC).
Conas tú féin a chosaint. I gcás an POODLE bunaidh, ní mór duit tacaíocht SSL 3.0 a dhíchumasú. Mar sin féin, sa chás seo tá an baol ann fadhbanna comhoiriúnachta. D’fhéadfadh meicníocht TLS_FALLBACK_SCSV a bheith ina réiteach eile - cinntíonn sé nach ndéanfar malartú sonraí trí SSL 3.0 ach amháin le córais níos sine. Ní bheidh ionsaitheoirí in ann íosghrádú prótacail a thionscnamh a thuilleadh. Is bealach chun cosaint a dhéanamh i gcoinne Zombie POODLE agus GOLDENDOODLE tacaíocht CBC a dhíchumasú in iarratais bunaithe ar TLS 1.2. Is é an réiteach cardinal an t-aistriú go TLS 1.3 - ní úsáideann an leagan nua den phrótacal criptiú CBC. Ina áit sin, úsáidtear AES níos durable agus ChaCha20.
Beast
Ceann de na chéad ionsaithe ar SSL agus TLS 1.0, a thángthas air in 2011. Cosúil le POODLE, Beast gnéithe de chriptiú CBC. Suiteálann ionsaitheoirí gníomhaire JavaScript nó feidhmchláirín Java ar an meaisín cliant, a chuirtear in ionad teachtaireachtaí nuair a tharchuirtear sonraí thar TLS nó SSL. Ós rud é go bhfuil a fhios ag ionsaitheoirí inneachar na bpacáistí “caochadán”, is féidir leo iad a úsáid chun an veicteoir tosaigh a dhíchriptiú agus teachtaireachtaí eile a léamh don fhreastalaí, amhail fianáin fíordheimhnithe.
Go dtí an lá atá inniu ann, tá leochaileachtaí BEAST fós ann : Freastalaithe seachfhreastalaí agus feidhmchláir chun geataí Idirlín áitiúla a chosaint.
Conas tú féin a chosaint. Ní mór don ionsaitheoir iarratais rialta a sheoladh chun na sonraí a dhíchriptiú. I VMware laghdaigh ré SSLessionCacheTimeout ó chúig nóiméad (moladh réamhshocraithe) go 30 soicind. Déanfaidh an cur chuige seo níos deacra d’ionsaitheoirí a gcuid pleananna a chur i bhfeidhm, cé go mbeidh tionchar diúltach áirithe aige ar fheidhmíocht. Ina theannta sin, ní mór duit a thuiscint go bhféadfadh leochaileacht BEAST a bheith ina rud den am atá caite go luath ina n-aonar - ó 2020, na brabhsálaithe is mó tacaíocht do TLS 1.0 agus 1.1. Ar aon chuma, oibríonn níos lú ná 1,5% d’úsáideoirí brabhsálaí uile leis na prótacail seo.
DROINN
Ionsaí trasphrótacal é seo a bhaineann leas as fabhtanna i gcur i bhfeidhm SSLv2 le heochracha RSA 40-giotán. Éisteann an t-ionsaitheoir leis na céadta nasc TLS den sprioc agus cuireann sé paicéid speisialta chuig freastalaí SSLv2 ag baint úsáide as an eochair phríobháideach chéanna. Ag baint úsáide as , is féidir le hacker ceann de thart ar mhíle seisiún TLS cliant a dhíchriptiú.
Tháinig DROWN ar eolas den chéad uair i 2016 - ansin d'éirigh sé amach sa domhan. Sa lá atá inniu níor chaill sé a ábharthacht. As na 150 míle suíomh is coitianta, tá 2% fós SSLv2 agus meicníochtaí criptithe leochaileacha.
Conas tú féin a chosaint. Is gá paistí a shuiteáil atá molta ag forbróirí leabharlanna cripteagrafaíochta a dhíchumasaíonn tacaíocht SSLv2. Mar shampla, cuireadh dhá phaistí den sórt sin i láthair do OpenSSL (in 2016 1.0.1s agus 1.0.2g). Chomh maith leis sin, foilsíodh nuashonruithe agus treoracha chun an prótacal leochaileach a dhíchumasú i , , .
“D’fhéadfadh acmhainn a bheith i mbaol DROWN má úsáideann freastalaí tríú páirtí ar a bhfuil SSLv2, ar nós freastalaí ríomhphoist, a heochracha,” tugann ceann na roinne forbartha faoi deara Sergei Belkin. — Tarlaíonn sé seo má úsáideann go leor freastalaithe teastas SSL coiteann. Sa chás seo, ní mór duit tacaíocht SSLv2 a dhíchumasú ar gach meaisín."
Is féidir leat seiceáil an gá do chóras a nuashonrú trí úsáid a bhaint as córas speisialta — d'fhorbair speisialtóirí slándála faisnéise é a d'aimsigh DROWN. Is féidir leat tuilleadh a léamh faoi mholtaí a bhaineann le cosaint i gcoinne an chineáil seo ionsaí i .
Croíthe
Is é ceann de na leochaileachtaí is mó i mbogearraí . Thángthas air in 2014 sa leabharlann OpenSSL. Ag tráth an fhógra fabht, líon na suíomhanna gréasáin leochaileacha - is ionann seo agus thart ar 17% d'acmhainní cosanta ar an líonra.
Cuirtear an t-ionsaí i bhfeidhm tríd an modúl síneadh beag Heartbeat TLS. Éilíonn an prótacal TLS go ndéanfaí sonraí a tharchur go leanúnach. I gcás downtime fada, tarlaíonn briseadh agus ní mór an nasc a athbhunú. Chun dul i ngleic leis an bhfadhb, déanann freastalaithe agus cliaint an cainéal a “thorann” go saorga (), paicéad d'fhad randamach a tharchur. Má bhí sé níos mó ná an paicéad iomlán, ansin léann leaganacha leochaileacha de OpenSSL cuimhne thar an maolán leithdháilte. D’fhéadfadh aon sonraí a bheith sa réimse seo, lena n-áirítear eochracha príobháideacha criptithe agus faisnéis faoi naisc eile.
Bhí an leochaileacht i láthair i ngach leagan den leabharlann idir 1.0.1 agus 1.0.1f san áireamh, chomh maith le i roinnt córais oibriúcháin - Ubuntu suas go dtí 12.04.4, CentOS níos sine ná 6.5, OpenBSD 5.3 agus daoine eile. Tá liosta iomlán ann . Cé gur scaoileadh paistí i gcoinne na leochaileachta seo beagnach díreach tar éis é a fháil amach, tá an fhadhb fós ábhartha go dtí an lá atá inniu ann. Ar ais i 2017 , a oirfeadh do Heartbleed.
Conas tú féin a chosaint. Tá sé riachtanach suas le leagan 1.0.1g nó níos airde. Is féidir leat iarratais Heartbeat a dhíchumasú de láimh freisin trí úsáid a bhaint as an rogha DOPENSSL_NO_HEARTBEATS. Tar éis an nuashonrú, speisialtóirí slándála faisnéise teastais SSL a atheisiúint. Tá gá le hathsholáthar ar eagla go gcríochnóidh na sonraí ar na heochracha criptithe suas i lámha hackers.
Ionadú deimhnithe
Tá nód bainistithe le teastas SSL dlisteanach suiteáilte idir an t-úsáideoir agus an freastalaí, ag cur isteach ar thrácht go gníomhach. Déanann an nód seo aithris ar fhreastalaí dlisteanach trí dheimhniú bailí a thíolacadh, agus is féidir ionsaí MITM a dhéanamh.
De réir foirne ó Mozilla, Google agus roinnt ollscoileanna, tá thart ar 11% de naisc shlána ar an líonra cluasaithe. Tá sé seo mar thoradh ar dheimhnithe fréamhacha amhrasacha a shuiteáil ar ríomhairí úsáideoirí.
Conas tú féin a chosaint. Bain úsáid as na seirbhísí iontaofa . Is féidir leat “cáilíocht” na ndeimhnithe a sheiceáil ag baint úsáide as an tseirbhís (CT). Is féidir le soláthraithe néal cabhrú freisin le cluastuisceana a bhrath; cuireann roinnt cuideachtaí móra uirlisí speisialaithe ar fáil cheana féin chun monatóireacht a dhéanamh ar naisc TLS.
Is modh nua cosanta a bheidh ann ACME, a uathoibríonn deimhniú SSL a fháil. Ag an am céanna, cuirfidh sé meicníochtaí breise chun úinéir an láithreáin a fhíorú. Tuilleadh faoi .
/flickr/ / CC AG
Ionchais do HTTPS
In ainneoin roinnt leochaileachtaí, tá fathaigh TF agus saineolaithe slándála faisnéise muiníneach as todhchaí an phrótacail. Chun HTTPS a chur i bhfeidhm go gníomhach Tim Berners-Lee cruthaitheoir WWW. Dar leis, le himeacht ama beidh TLS a bheith níos sláine, a fheabhsóidh go suntasach slándáil na naisc. Mhol Berners-Lee é sin fiú deimhnithe cliant le haghaidh fíordheimhnithe aitheantais. Cabhróidh siad le cosaint an fhreastalaí ó ionsaitheoirí a fheabhsú.
Tá sé beartaithe freisin teicneolaíocht SSL/TLS a fhorbairt trí úsáid a bhaint as meaisínfhoghlaim - beidh halgartaim chliste freagrach as trácht mailíseach a scagadh. Le naisc HTTPS, níl aon bhealach ag riarthóirí ábhar na dteachtaireachtaí criptithe a fháil amach, lena n-áirítear iarratais ó malware a bhrath. Cheana féin inniu, tá líonraí neural in ann paicéid a d’fhéadfadh a bheith contúirteach a scagadh le cruinneas 90%. ().
Torthaí
Ní bhaineann formhór na n-ionsaithe ar HTTPS le fadhbanna leis an bprótacal féin, ach le tacaíocht a thabhairt do mheicníochtaí criptithe as dáta. Tá an tionscal TF ag tosú ar phrótacail ghlúin roimhe seo a thréigean de réir a chéile agus ag tairiscint uirlisí nua chun leochaileachtaí a chuardach. Sa todhchaí, beidh na huirlisí seo ag éirí níos cliste.
Naisc bhreise ar an ábhar:
Foinse: will.com