Ib nrab ntawm qhov chaw , thiab lawv cov naj npawb tsis tu ncua. Cov txheej txheem txo cov kev pheej hmoo ntawm kev cuam tshuam tsheb, tab sis tsis tshem tawm kev sim tawm tsam xws li. Peb yuav tham txog qee qhov ntawm lawv - POODLE, BEAST, DROWN thiab lwm yam - thiab cov txheej txheem ntawm kev tiv thaiv hauv peb cov khoom.
/flickr/ / CC BY-SA
POODLE
Thawj zaug txog kev tawm tsam tau paub hauv 2014. Qhov tsis zoo hauv SSL 3.0 raws tu qauv tau tshawb pom los ntawm cov ntaub ntawv kev ruaj ntseg tshwj xeeb Bodo MΓΆller thiab cov npoj yaig los ntawm Google.
Nws cov ntsiab lus yog raws li hauv qab no: tus neeg nyiag nkas yuam cov neeg siv khoom txuas ntawm SSL 3.0, emulating kev sib txuas tawg. Tom qab ntawd nws tshawb hauv qhov encrypted -kev tsheb hom tshwj xeeb tag cov lus. Siv cov ntawv thov forged, tus neeg tawm tsam tuaj yeem rov tsim kho cov ntsiab lus ntawm cov ntaub ntawv txaus siab, xws li ncuav qab zib.
SSL 3.0 yog cov txheej txheem dhau los. Tab sis cov lus nug ntawm nws txoj kev nyab xeeb tseem cuam tshuam. Cov neeg siv khoom siv nws kom tsis txhob muaj teeb meem kev sib raug zoo nrog cov servers. Raws li qee cov ntaub ntawv, yuav luag 7% ntawm 100 txhiab qhov chaw nrov tshaj plaws Cov. Ib yam ntxiv Kev hloov kho rau POODLE uas lub hom phiaj niaj hnub TLS 1.0 thiab TLS 1.1. Xyoo no Zombie POODLE tshiab thiab GOLDENDOODLE tawm tsam uas hla TLS 1.2 tiv thaiv (lawv tseem cuam tshuam nrog CBC encryption).
Yuav tiv thaiv koj tus kheej li cas. Nyob rau hauv rooj plaub ntawm tus thawj POODLE, koj yuav tsum tau lov tes taw SSL 3.0 kev them nyiaj yug. Txawm li cas los xij, nyob rau hauv cov ntaub ntawv no muaj kev pheej hmoo ntawm cov teeb meem compatibility. Lwm txoj kev daws teeb meem tuaj yeem yog TLS_FALLBACK_SCSV mechanism - nws ua kom cov ntaub ntawv pauv ntawm SSL 3.0 tsuas yog ua nrog cov txheej txheem qub. Cov neeg tawm tsam yuav tsis muaj peev xwm pib ua cov txheej txheem downgrades. Ib txoj hauv kev los tiv thaiv Zombie POODLE thiab GOLDENDOODLE yog kev cuam tshuam CBC kev txhawb nqa hauv TLS 1.2-raws li daim ntawv thov. Txoj kev daws teeb meem yuav yog qhov hloov pauv mus rau TLS 1.3 - qhov tshiab ntawm cov txheej txheem tsis siv CBC encryption. Hloov chaw, siv tau ntev dua AES thiab ChaCha20.
tsiaj nyaum
Ib qho ntawm thawj qhov kev tawm tsam ntawm SSL thiab TLS 1.0, nrhiav pom hauv 2011. Zoo li POODLE, BEAST Cov yam ntxwv ntawm CBC encryption. Cov neeg tawm tsam nruab ib tus neeg sawv cev JavaScript lossis Java applet ntawm tus neeg siv lub tshuab, uas hloov cov lus thaum xa cov ntaub ntawv hla TLS lossis SSL. Txij li thaum cov neeg tawm tsam paub cov ntsiab lus ntawm "dummy" pob ntawv, lawv tuaj yeem siv lawv los txiav txim siab qhov pib vector thiab nyeem lwm cov lus rau lub server, xws li cov ncuav qab zib pov thawj.
Txog niaj hnub no, BEAST vulnerabilities tseem nyob : Proxy servers thiab daim ntawv thov kev tiv thaiv hauv Internet gateways.
Yuav tiv thaiv koj tus kheej li cas. Tus neeg tawm tsam yuav tsum xa cov lus thov tsis tu ncua los txiav txim siab cov ntaub ntawv. Hauv VMware txo lub sijhawm ntawm SSLSessionCacheTimeout los ntawm tsib feeb (kev pom zoo ua ntej) mus rau 30 vib nas this. Txoj hauv kev no yuav ua rau nws nyuaj rau cov neeg tawm tsam los siv lawv cov phiaj xwm, txawm hais tias nws yuav muaj kev cuam tshuam tsis zoo rau kev ua haujlwm. Tsis tas li ntawd, koj yuav tsum nkag siab tias BEAST qhov tsis zoo yuav dhau los ua ib qho ntawm yav dhau los ntawm nws tus kheej - txij li xyoo 2020, qhov loj tshaj plaws browsers. Txhawb rau TLS 1.0 thiab 1.1. Txawm li cas los xij, tsawg dua 1,5% ntawm txhua tus neeg siv browser ua haujlwm nrog cov txheej txheem no.
DUA
Qhov no yog qhov kev tawm tsam hla uas siv cov kab laum hauv kev siv SSLv2 nrog 40-ntsis RSA yuam sij. Tus neeg tawm tsam mloog ntau pua ntawm TLS kev sib txuas ntawm lub hom phiaj thiab xa cov pob ntawv tshwj xeeb rau SSLv2 server siv tib tus yuam sij ntiag tug. Siv , ib tug hacker tuaj yeem decrypt ib qho ntawm ib txhiab tus neeg siv TLS zaug.
DROWN thawj zaug tau paub hauv 2016 - tom qab ntawd nws tau hloov mus ua hauv ntiaj teb no. Niaj hnub no nws tsis tau poob nws qhov tseeb. Ntawm 150 txhiab qhov chaw nrov tshaj plaws, 2% tseem yog SSLv2 thiab yooj yim encryption mechanisms.
Yuav tiv thaiv koj tus kheej li cas. Nws yog ib qho tsim nyog rau nruab thaj ua rau thaj uas tau thov los ntawm cov tsim tawm ntawm cov tsev qiv ntawv cryptographic uas lov tes taw SSLv2 kev txhawb nqa. Piv txwv li, ob thaj ua rau thaj tau nthuav tawm rau OpenSSL (hauv 2016 1.0.1s thiab 1.0.2g). Tsis tas li ntawd, cov kev hloov tshiab thiab cov lus qhia rau kev tsis siv cov txheej txheem yooj yim tau luam tawm hauv , , .
"Ib qho peev txheej yuav ua rau muaj kev cuam tshuam rau DROWN yog tias nws cov yuam sij raug siv los ntawm tus neeg thib peb nrog SSLv2, xws li xa ntawv xa ntawv," sau tseg tus thawj coj ntawm kev txhim kho. Sergei Belkin: 2 Lab tus kiv cua tos koj rau Webtalk! - Qhov xwm txheej no tshwm sim yog tias ntau lub servers siv daim ntawv pov thawj SSL. Hauv qhov no, koj yuav tsum lov tes taw SSLvXNUMX kev txhawb nqa ntawm txhua lub tshuab. "
Koj tuaj yeem tshawb xyuas seb koj qhov system puas yuav tsum tau hloov kho tshiab siv qhov tshwj xeeb - nws tau tsim los ntawm cov kws paub txog kev ruaj ntseg cov ntaub ntawv uas nrhiav pom DROWN. Koj tuaj yeem nyeem ntxiv txog cov lus pom zoo cuam tshuam txog kev tiv thaiv hom kev tawm tsam no hauv .
Heartbleed
Ib qho ntawm qhov tsis zoo tshaj plaws hauv software yog . Nws tau pom nyob rau hauv 2014 hauv OpenSSL lub tsev qiv ntawv. Thaum lub sijhawm tshaj tawm kab laum, tus naj npawb ntawm cov vev xaib tsis zoo - qhov no yog kwv yees li 17% ntawm cov peev txheej tiv thaiv hauv lub network.
Qhov kev tawm tsam yog siv los ntawm qhov me me Heartbeat TLS extension module. TLS raws tu qauv xav kom cov ntaub ntawv xa mus tsis tu ncua. Nyob rau hauv cov ntaub ntawv ntawm lub caij nyoog downtime, ib tug so tshwm sim thiab qhov kev twb kev txuas yuav tsum tau rov tsim dua. Txhawm rau tiv nrog qhov teeb meem, servers thiab cov neeg siv khoom tsim "suab nrov" channel (), xa ib pob ntawv ntawm random ntev. Yog tias nws loj dua tag nrho cov pob ntawv, ces qhov tsis zoo ntawm OpenSSL nyeem lub cim xeeb dhau ntawm cov kev faib tsis tau. Qhov chaw no tuaj yeem muaj cov ntaub ntawv, suav nrog tus yuam sij encryption ntiag tug thiab cov ntaub ntawv hais txog lwm yam kev sib txuas.
Qhov tsis txaus ntseeg tau tshwm sim nyob rau hauv tag nrho cov versions ntawm lub tsev qiv ntawv nruab nrab ntawm 1.0.1 thiab 1.0.1f suav nrog, nrog rau ntau lub tshuab ua haujlwm - Ubuntu mus txog 12.04.4, CentOS laus dua 6.5, OpenBSD 5.3 thiab lwm yam. Muaj ib daim ntawv teev npe tiav . Txawm hais tias thaj tsam tiv thaiv qhov tsis zoo no tau tso tawm yuav luag tam sim tom qab nws tshawb pom, qhov teeb meem tseem cuam tshuam rau hnub no. Rov qab rau xyoo 2017 , susceptible to Heartbleed.
Yuav tiv thaiv koj tus kheej li cas. Nws yog qhov tsim nyog mus txog version 1.0.1g lossis siab dua. Koj tuaj yeem lov tes taw Heartbeat thov manually siv DOPENSSL_NO_HEARTBEATS kev xaiv. Tom qab qhov hloov tshiab, cov kws paub txog kev ruaj ntseg cov ntaub ntawv rov muab SSL daim ntawv pov thawj. Yuav tsum hloov pauv yog tias cov ntaub ntawv ntawm cov yuam sij encryption xaus rau hauv tes ntawm hackers.
Kev hloov daim ntawv pov thawj
Ib qho kev tswj hwm nrog daim ntawv pov thawj SSL raug cai raug teeb tsa ntawm tus neeg siv thiab tus neeg rau zaub mov, cuam tshuam kev khiav tsheb. Cov node impersonates tus neeg rau zaub mov raug cai los ntawm kev nthuav tawm daim ntawv pov thawj siv tau, thiab nws tuaj yeem ua tiav MITM nres.
Raws li pab pawg los ntawm Mozilla, Google thiab ntau lub tsev kawm qib siab, kwv yees li 11% ntawm kev ruaj ntseg kev sib txuas ntawm lub network raug kaw. Qhov no yog qhov tshwm sim ntawm kev txhim kho cov ntawv pov thawj hauv paus tsis txaus ntseeg ntawm cov neeg siv computers.
Yuav tiv thaiv koj tus kheej li cas. Siv cov kev pabcuam txhim khu kev qha . Koj tuaj yeem tshawb xyuas "zoo" ntawm daim ntawv pov thawj siv cov kev pabcuam (CT). Cov chaw muab kev pabcuam huab kuj tuaj yeem pab tshawb nrhiav kev mloog; qee lub tuam txhab loj twb muab cov cuab yeej tshwj xeeb rau kev saib xyuas TLS kev sib txuas.
Lwm txoj kev tiv thaiv yuav yog ib qho tshiab ACME, uas automates tau txais daim ntawv pov thawj SSL. Nyob rau tib lub sijhawm, nws yuav ntxiv cov txheej txheem ntxiv los txheeb xyuas tus tswv ntawm lub xaib. Xav paub ntxiv txog nws .
/flickr/ / CC los ntawm
Kev cia siab rau HTTPS
Txawm hais tias muaj ntau qhov tsis zoo, IT giants thiab cov kws paub txog kev ruaj ntseg cov ntaub ntawv muaj kev ntseeg siab rau yav tom ntej ntawm cov txheej txheem. Rau kev ua haujlwm nquag ntawm HTTPS Tim Berners-Lee tus tsim WWW. Raws li nws, dhau sijhawm TLS yuav muaj kev nyab xeeb dua, uas yuav txhim kho kev ruaj ntseg ntawm kev sib txuas. Berners-Lee txawm hais tias cov neeg siv daim ntawv pov thawj rau kev lees paub tus kheej. Lawv yuav pab txhim kho kev tiv thaiv server los ntawm cov neeg tawm tsam.
Nws kuj tau npaj los tsim SSL / TLS thev naus laus zis siv tshuab kev kawm - ntse algorithms yuav ua lub luag haujlwm rau kev lim cov tsheb tsis zoo. Nrog HTTPS kev sib txuas, cov thawj coj tsis muaj txoj hauv kev los nrhiav cov ntsiab lus ntawm cov lus encrypted, suav nrog kev txheeb xyuas qhov kev thov los ntawm malware. Tam sim no niaj hnub no, neural networks muaj peev xwm lim cov pob ntawv uas muaj peev xwm txaus ntshai nrog 90% qhov tseeb. ().
tshawb pom
Feem ntau cov kev tawm tsam ntawm HTTPS tsis cuam tshuam txog teeb meem nrog cov txheej txheem nws tus kheej, tab sis los txhawb rau cov txheej txheem encryption tsis tu ncua. Kev lag luam IT tab tom pib maj mam tso tseg cov txheej txheem dhau los thiab muab cov cuab yeej tshiab rau kev tshawb nrhiav qhov tsis zoo. Nyob rau yav tom ntej, cov cuab yeej no yuav dhau los ua neeg txawj ntse.
Txuas ntxiv ntawm lub ncauj lus:
Tau qhov twg los: www.hab.com