Ọkara saịtị , ọnụ ọgụgụ ha na-arị elu nke ukwuu. Usoro ahụ na-ebelata ihe ize ndụ nke nkwụsị okporo ụzọ, mana anaghị ewepụ mwakpo nwara dịka nke a. Anyị ga-ekwu maka ụfọdụ n'ime ha - POODLE, BEAST, DROWN na ndị ọzọ - yana ụzọ nchebe n'ime ihe anyị.
/Flicker/ / CC BY-SA
POODLE
Maka oge mbụ banyere mwakpo ahụ bịara mara na 2014. Achọpụtara adịghị ike na protocol SSL 3.0 site n'aka ọkachamara nchekwa ozi Bodo Möller na ndị ọrụ ibe Google.
Ihe kachasị mkpa ya bụ nke a: onye na-agba ọsọ na-amanye onye ahịa ka ọ jikọọ site na SSL 3.0, na-eṅomi njikọ njikọ. Mgbe ahụ ọ na-achọgharị na ezoro ezo ozi mkpado pụrụiche ọnọdụ okporo ụzọ. N'iji usoro arịrịọ adịgboroja, onye mwakpo nwere ike wulite ọdịnaya nke data mmasị, dị ka kuki.
SSL 3.0 bụ ụkpụrụ emechiela. Ma ajụjụ banyere nchekwa ya ka dị mkpa. Ndị ahịa na-eji ya zere nsogbu ndakọrịta na sava. Dị ka ụfọdụ data, fọrọ nke nta 7% nke 100 puku kasị ewu ewu saịtị ... Ọzọkwa mgbanwe na POODLE nke lekwasịrị anya TLS 1.0 na TLS 1.1. Afọ a Zombie POODLE na GOLDENDOODLE ọhụrụ na-agafe nchebe TLS 1.2 (ha ka na-ejikọta ya na nzuzo CBC).
Otu esi echekwa onwe gị. N'ihe gbasara POODLE izizi, ịkwesịrị iwepu nkwado SSL 3.0. Otú ọ dị, na nke a, e nwere ihe ize ndụ nke nsogbu ndakọrịta. Ngwọta ọzọ nwere ike ịbụ usoro TLS_FALLBACK_SCSV - ọ na-ahụ na mgbanwe data site na SSL 3.0 ga-eji naanị sistemụ ochie mee. Ndị na-awakpo agaghịzi enwe ike ibido mweda protocol. Ụzọ iji chebe megide Zombie POODLE na GOLDENDOODLE bụ iji gbanyụọ nkwado CBC na ngwa dabere na TLS 1.2. Ihe ngwọta dị egwu ga-abụ mgbanwe na TLS 1.3 - ụdị ọhụrụ nke protocol anaghị eji nzuzo CBC. Kama, a na-eji AES na ChaCha20 na-adịgide adịgide.
IGBO
Otu n'ime mwakpo mbụ na SSL na TLS 1.0, chọpụtara na 2011. Dị ka POODLE, BEAST atụmatụ nke CBC izo ya ezo. Ndị na-awakpo wụnye onye nnọchite Javascript ma ọ bụ applet Java na igwe ndị ahịa, nke na-edochi ozi mgbe ị na-ebufe data n'elu TLS ma ọ bụ SSL. Ebe ọ bụ na ndị na-awakpo mara ihe dị n'ime ngwugwu "dummy", ha nwere ike iji ha mebie vector mmalite ma gụọ ozi ndị ọzọ na sava ahụ, dị ka kuki nyocha.
Ruo taa, adịghị ike BEAST ka dị : Sava proxy na ngwa maka ichekwa ọnụ ụzọ ịntanetị mpaghara.
Otu esi echekwa onwe gị. Onye mwakpo ahụ kwesịrị izipu arịrịọ oge niile iji mebie data ahụ. Na VMware belata oge SSLSessionCacheTimeout site na nkeji ise (nkwanye ndabara) ruo 30 sekọnd. Ụzọ a ga-eme ka o siere ndị na-awakpo ike ime atụmatụ ha, ọ bụ ezie na ọ ga-enwe mmetụta ọjọọ na arụmọrụ. Na mgbakwunye, ịkwesịrị ịghọta na adịghị ike BEAST nwere ike bụrụ ihe gara aga n'onwe ya - kemgbe 2020, ihe nchọgharị kachasị ukwuu. nkwado maka TLS 1.0 na 1.1. N'ọnọdụ ọ bụla, ihe na-erughị 1,5% nke ndị ọrụ ihe nchọgharị niile na-arụ ọrụ na usoro ndị a.
Mmiri
Nke a bụ ọgụ ogbunigwe nke na-erigbu ahụhụ na mmejuputa SSLv2 nwere igodo 40-bit RSA. Onye mwakpo ahụ na-ege ọtụtụ narị njikọ TLS nke ebumnuche wee ziga ngwugwu pụrụ iche na sava SSLv2 site na iji otu igodo nzuzo ahụ. Iji , onye hacker nwere ike decrypt otu n'ime ihe dị ka puku ndị ahịa TLS sessions.
DROWN bu ụzọ mara na 2016 - mgbe ahụ ọ bịara bụrụ n'ụwa. Taa, ọ dịghị atụfu mkpa ya. N'ime 150 puku saịtị kachasị ewu ewu, 2% ka dị SSLv2 na usoro nzuzo adịghị ike.
Otu esi echekwa onwe gị. Ọ dị mkpa ịwụnye patches nke ndị mmepe nke ọba akwụkwọ cryptographic tụrụ aro na-ewepụ nkwado SSLv2. Dịka ọmụmaatụ, ewepụtara patches abụọ dị otú ahụ maka OpenSSL (na 2016 1.0.1s na 1.0.2g). Ọzọkwa, e bipụtara mmelite na ntuziaka maka gbanyụọ protocol adịghị ike na , , .
"Akụkụ nwere ike bụrụ ngwa ngwa na DROWN ma ọ bụrụ na sava ndị ọzọ nwere SSLv2 na-eji igodo ya, dị ka ihe nkesa ozi," ka onyeisi ngalaba mmepe na-ekwu. Sergei Belkin. - Nke a na ọnọdụ emee ma ọ bụrụ na ọtụtụ sava na-eji a nkịtị SSL akwụkwọ. N'okwu a, ịkwesịrị gbanyụọ nkwado SSLv2 na igwe niile."
Ị nwere ike ịlele ma ọ dị mkpa ka emelite sistemụ gị site na iji pụrụ iche - Ndị ọkachamara nchekwa ozi bụ ndị chọpụtara DROWN mepụtara ya. Ị nwere ike ịgụkwu gbasara ndụmọdụ ndị metụtara nchebe megide ụdị mwakpo a na .
Obi
Otu n'ime adịghị ike kachasị na ngwanrọ bụ . Achọpụtara ya na 2014 n'ọbá akwụkwọ OpenSSL. N'oge ọkwa ahụhụ, ọnụ ọgụgụ nke weebụsaịtị adịghị ike - nke a bụ ihe dịka 17% nke akụrụngwa echekwara na netwọkụ.
A na-emejuputa mwakpo a site na modul ndọtị Heartbeat TLS. Usoro TLS chọrọ ka ebufe data na-aga n'ihu. Ọ bụrụ na ọ dị ogologo oge nkwụsịtụ, nkwụsịtụ na-eme ma a ghaghị ịmaliteghachi njikọ ahụ. Iji nagide nsogbu ahụ, sava na ndị ahịa na-eme mkpọtụ "ụda" ọwa (), na-ebunye ngwugwu nke ogologo enweghị usoro. Ọ bụrụ na ọ buru ibu karịa ngwugwu ahụ dum, mgbe ahụ ụdị OpenSSL adịghị ike na-agụ ebe nchekwa karịa ihe nchekwa ekenyere. Mpaghara a nwere ike ịnwe data ọ bụla, gụnyere igodo nzuzo yana ozi gbasara njikọ ndị ọzọ.
Ọdịmma ahụ dị na ụdị ọbá akwụkwọ niile n'etiti 1.0.1 na 1.0.1f gụnyere, yana n'ọtụtụ sistemụ arụmọrụ - Ubuntu ruo 12.04.4, CentOS tọrọ 6.5, OpenBSD 5.3 na ndị ọzọ. Enwere ndepụta zuru oke . Ọ bụ ezie na e wepụtara patches megide adịghị ike a ihe fọrọ nke nta ka ọ bụrụ ozugbo achọpụtara ya, nsogbu ahụ ka dị mkpa ruo taa. Laa azụ na 2017 , nke nwere ike ibute ọrịa obi.
Otu esi echekwa onwe gị. Ọ dị mkpa ruo ụdị 1.0.1g ma ọ bụ karịa. Ị nwekwara ike iji aka gị gbanyụọ arịrịọ Heartbeat site na iji nhọrọ DOPENSL_NO_HEARTBEATS. Mgbe mmelite ahụ gasịrị, ndị ọkachamara nchekwa ozi weghachi asambodo SSL. A chọrọ nnọchi ma ọ bụrụ na data dị na igodo ezoro ezo na-ejedebe n'aka ndị hackers.
Ndochi asambodo
Awụnyere ọnụ ọnụ ejirila asambodo SSL ziri ezi n'etiti onye ọrụ na nkesa, na-egbochi okporo ụzọ. Ọnụ ụzọ a na-egosipụta ihe nkesa ziri ezi site n'igosi asambodo ziri ezi, ma ọ ga-ekwe omume ịme mwakpo MITM.
Dị ka Ndị otu sitere na Mozilla, Google na ọtụtụ mahadum, ihe dịka 11% nke njikọ echekwara na netwọk na-ege ntị. Nke a bụ nsonaazụ nke ịwụnye asambodo mgbọrọgwụ enyo na kọmputa ndị ọrụ.
Otu esi echekwa onwe gị. Jiri ọrụ ndị a pụrụ ịdabere na ya . Ị nwere ike ịlele "mma" nke asambodo site na iji ọrụ ahụ (CT). Ndị na-enye igwe ojii nwekwara ike inye aka n'ịchọta nchikota ntị; ụfọdụ nnukwu ụlọ ọrụ enyelarị ngwaọrụ pụrụ iche maka nyochaa njikọ TLS.
Ụzọ ọzọ nke nchebe ga-abụ ọhụrụ ACME, nke na-akpaghị aka nnata nke asambodo SSL. N'otu oge ahụ, ọ ga-agbakwunye usoro ndị ọzọ iji nyochaa onye nwe saịtị ahụ. More banyere ya .
/Flicker/ / CC BY
Atụmanya maka HTTPS
N'agbanyeghị ọtụtụ adịghị ike, IT Giants na ndị ọkachamara nchekwa ozi nwere obi ike na ọdịnihu nke protocol. Maka mmejuputa HTTPS na-arụ ọrụ Onye kere WWW Tim Berners-Lee. Dị ka ya si kwuo, ka oge na-aga, TLS ga-adịkwu nchebe, nke ga-eme ka nchekwa nke njikọ dịkwuo mma. Berners-Lee tụụrụ ya aro asambodo ndị ahịa maka njirimara njirimara. Ha ga-enyere aka melite nchekwa nkesa site na ndị mwakpo.
A na-eme atụmatụ ịmepụta teknụzụ SSL/TLS site na iji mmụta igwe - smart algọridim ga-ahụ maka nzacha okporo ụzọ ọjọọ. Site na njikọ HTTPS, ndị nchịkwa enweghị ụzọ isi chọpụta ọdịnaya nke ozi ezoro ezo, gụnyere ịchọpụta arịrịọ sitere na malware. Ugbua taa, netwọkụ akwara nwere ike nyochaa ngwugwu ndị nwere ike ịdị ize ndụ yana izi ezi 90%. ().
Nchoputa
Ọtụtụ mwakpo na HTTPS enweghị ihe jikọrọ ya na nsogbu dị na protocol n'onwe ya, kama iji kwado maka usoro ezoro ezo emechiela. Ụlọ ọrụ IT na-amalite iji nwayọọ nwayọọ gbahapụ ụkpụrụ ọgbọ ndị gara aga ma na-enye ngwaọrụ ọhụrụ maka ịchọ adịghị ike. N'ọdịnihu, ngwá ọrụ ndị a ga-aghọwanye ọgụgụ isi.
Njikọ ndị ọzọ na isiokwu a:
isi: www.habr.com