Ny antsasaky ny tranokala , ary tsy mitsaha-mitombo ny isany. Ny protocol dia mampihena ny mety hisian'ny fisakanana fifamoivoizana, fa tsy manafoana ny fanafihana andrana toy izany. Hiresaka momba ny sasany amin'izy ireo isika - POODLE, BEAST, DROWN sy ny hafa - ary ny fomba fiarovana amin'ny fitaovantsika.
/flickr/ / CC BY-SA
POODLE
Sambany momba ny fanafihana fantatra tamin'ny taona 2014. Hitan'ny manampahaizana manokana momba ny fiarovana ny vaovao Bodo MΓΆller sy ny mpiara-miasa amin'ny Google ny fahalemena amin'ny protocol SSL 3.0.
Ny votoatiny dia toy izao manaraka izao: ny mpijirika dia manery ny mpanjifa hifandray amin'ny alΓ lan'ny SSL 3.0, manahaka ny fahatapahan'ny fifandraisana. Dia mikaroka ao amin'ny encrypted - hafatra marika manokana amin'ny fomba fifamoivoizana. Amin'ny fampiasana andiana fangatahana hosoka, ny mpanafika dia afaka manangana indray ny votoatin'ny angona mahaliana, toy ny cookies.
SSL 3.0 dia protocol efa lany andro. Saingy mbola manan-danja ihany ny fanontaniana momba ny fiarovana azy. Mampiasa izany ny mpanjifa mba hialana amin'ny olana mifanaraka amin'ny mpizara. Araka ny angon-drakitra sasany, efa ho 7% amin'ireo tranonkala malaza 100 arivo . ihany koa fanovana ny POODLE izay mikendry ny TLS 1.0 sy TLS 1.1 maoderina kokoa. Ity taona ity fanafihana Zombie POODLE sy GOLDENDOODLE vaovao izay mandingana ny fiarovana TLS 1.2 (mbola mifandray amin'ny encryption CBC izy ireo).
Ahoana no hiarovana ny tenanao. Raha ny momba ny POODLE tany am-boalohany dia mila esorinao ny fanohanana SSL 3.0. Na izany aza, amin'ity tranga ity dia misy ny mety hisian'ny olana mifanaraka. Vahaolana hafa dia mety ho ny mekanika TLS_FALLBACK_SCSV - miantoka fa ny fifanakalozana angona amin'ny alΓ lan'ny SSL 3.0 dia tsy hatao afa-tsy amin'ny rafitra taloha. Tsy afaka manomboka ny fampidinana ny protocole intsony ny mpanafika. Fomba iray hiarovana amin'ny Zombie POODLE sy GOLDENDOODLE ny fanafoanana ny fanohanan'ny CBC amin'ny rindranasa mifototra amin'ny TLS 1.2. Ny vahaolana kardinaly dia ny fifindrana mankany amin'ny TLS 1.3 - ny dikan-teny vaovao amin'ny protocol dia tsy mampiasa encryption CBC. Fa kosa, AES sy ChaCha20 maharitra kokoa no ampiasaina.
biby
Iray amin'ireo fanafihana voalohany indrindra amin'ny SSL sy TLS 1.0, hita tamin'ny 2011. Toy ny POODLE, BEAST endri-javatra amin'ny encryption CBC. Ny mpanafika dia mametraka mpandraharaha JavaScript na applet Java amin'ny milina mpanjifa, izay manolo ny hafatra rehefa mamindra angona amin'ny TLS na SSL. Koa satria fantatry ny mpanafika ny ao anatin'ny fonosana βdodokaβ, dia azon'izy ireo atao ny mampiasa azy ireny mba hamakiana ny fizika fanombohana sy hamakiana hafatra hafa amin'ny mpizara, toy ny cookies fanamarinana.
Amin'izao fotoana izao, mbola misy ny vulnerability BEAST : Mpizara proxy sy fampiharana miaro ny vavahadin'ny Internet eo an-toerana.
Ahoana no hiarovana ny tenanao. Mila mandefa fangatahana tsy tapaka ny mpanafika mba hamadika ny angona. Ao amin'ny VMware mampihena ny faharetan'ny SSLSessionCacheTimeout avy amin'ny dimy minitra (toro-hevitra default) ho 30 segondra. Ity fomba fiasa ity dia hanasarotra kokoa ny mpanafika amin'ny fampiharana ny drafitra, na dia hisy fiantraikany ratsy eo amin'ny fampisehoana aza izany. Ho fanampin'izay, mila mahatakatra ianao fa ny vulnerability BEAST dia mety ho lasa zavatra taloha ho azy irery - nanomboka tamin'ny 2020, ny navigateur lehibe indrindra. fanohanana ny TLS 1.0 sy 1.1. Na izany na tsy izany, latsaky ny 1,5% amin'ireo mpampiasa navigateur rehetra no miasa miaraka amin'ireo protocols ireo.
faty an-drano
Ity dia fanafihana cross-protocol izay manararaotra ny bibikely amin'ny fampiharana ny SSLv2 miaraka amin'ny fanalahidy RSA 40-bit. Ny mpanafika dia mihaino fifandraisana TLS an-jatony amin'ny kendrena ary mandefa fonosana manokana amin'ny mpizara SSLv2 mampiasa ny fanalahidy manokana mitovy. mampiasa , ny mpijirika dia afaka mamadika ny iray amin'ireo fivoriana TLS mpanjifa arivo eo ho eo.
Ny DROWN dia fantatra voalohany tamin'ny taona 2016 - avy eo dia lasa izy io eto amin'izao tontolo izao. Ankehitriny dia tsy very ny maha-zava-dehibe azy io. Amin'ireo tranonkala malaza 150 arivo, 2% no mbola SSLv2 sy mekanika fanafenana marefo.
Ahoana no hiarovana ny tenanao. Ilaina ny mametraka patch natolotry ny mpamorona tranomboky cryptographic izay manakana ny fanohanana SSLv2. Ohatra, paty roa toy izany no naseho ho an'ny OpenSSL (tamin'ny 2016 1.0.1s sy 1.0.2g). Ary koa, ny fanavaozana sy ny toromarika momba ny fanafoanana ny protocol vulnerable dia navoaka tao , , .
"Mety ho mora voadona amin'ny DROWN ny loharano iray raha ampiasain'ny mpizara antoko fahatelo miaraka amin'ny SSLv2, toy ny mpizara mailaka ny lakileny", hoy ny fanamarihan'ny lehiben'ny departemanta fampandrosoana. Sergei Belkin. β Mitranga izany toe-javatra izany raha mampiasa certificat SSL mahazatra ny mpizara maromaro. Amin'ity tranga ity, mila manaisotra ny fanohanana SSLv2 amin'ny milina rehetra ianao.
Azonao atao ny manamarina raha mila fanavaozana ny rafitrao amin'ny fampiasana manokana - novolavolain'ny manampahaizana manokana momba ny fiarovana ny vaovao izay nahita an'i DROWN. Azonao atao ny mamaky bebe kokoa momba ny tolo-kevitra mifandraika amin'ny fiarovana amin'ity karazana fanafihana ity .
Voadona am-po
Ny iray amin'ireo vulnerability lehibe indrindra amin'ny rindrambaiko dia . Hita tamin'ny 2014 tao amin'ny tranomboky OpenSSL izany. Tamin'ny fotoana nanambarana ny bug, ny isan'ny tranonkala vulnerable - eo ho eo amin'ny 17% amin'ny loharano arovana ao amin'ny tambajotra izany.
Ny fanafihana dia ampiharina amin'ny alΓ lan'ny module fanitarana Heartbeat TLS kely. Ny protocol TLS dia mitaky ny fampitana tsy tapaka ny angona. Raha misy fotoana tsy maharitra maharitra, dia misy fiatoana ary tsy maintsy averina averina ny fifandraisana. Mba hiatrehana ny olana, ny mpizara sy ny mpanjifa dia "mitabataba" ny fantsona (), mamindra fonosana misy halavany kisendrasendra. Raha lehibe kokoa noho ny fonosana iray manontolo izany, dia ny dikan-teny marefo amin'ny OpenSSL dia mamaky fahatsiarovana mihoatra ny buffer nomena. Ity faritra ity dia mety ahitana angon-drakitra rehetra, anisan'izany ny fanalahidin'ny fanafenana manokana sy fampahalalana momba ny fifandraisana hafa.
Ny vulnerability dia hita amin'ny dikan-teny rehetra amin'ny tranomboky eo anelanelan'ny 1.0.1 sy 1.0.1f, ary koa amin'ny rafitra fiasa maromaro - Ubuntu hatramin'ny 12.04.4, CentOS efa antitra noho ny 6.5, OpenBSD 5.3 sy ny hafa. Misy lisitra feno . Na dia navotsotra avy hatrany taorian'ny nahitana azy aza ny patch manohitra an'io vulnerable io, dia mbola manan-danja hatramin'izao ny olana. Hiverina any amin'ny 2017 , mora voan'ny Heartbleed.
Ahoana no hiarovana ny tenanao. Ilaina izany hatramin'ny version 1.0.1g na ambony. Azonao atao ihany koa ny manafoana ny fangatahana Heartbeat amin'ny alΓ lan'ny safidy DOPENSSL_NO_HEARTBEATS. Taorian'ny fanavaozana, manam-pahaizana manokana momba ny fiarovana ny vaovao avoaka indray ny certificat SSL. Ilaina ny fanoloana raha toa ka lasa eo am-pelatanan'ny hackers ny angon-drakitra momba ny fanalahidin'ny encryption.
Fanoloana certificat
Node voatantana misy certificat SSL ara-dalΓ na napetraka eo amin'ny mpampiasa sy ny mpizara, manakana ny fifamoivoizana. Ity node ity dia maka tahaka ny mpizara ara-dalΓ na amin'ny fanolorana taratasy fanamarinana manan-kery, ary azo atao ny manao fanafihana MITM.
Araka ny Ekipa avy amin'ny Mozilla, Google ary oniversite maromaro, manodidina ny 11% amin'ny fifandraisana azo antoka amin'ny tambajotra no misy sofina. Izany dia vokatry ny fametrahana certificat root mampiahiahy amin'ny solosain'ny mpampiasa.
Ahoana no hiarovana ny tenanao. Ampiasao ny serivisy azo itokisana . Azonao atao ny manamarina ny "kalitao" amin'ny fanamarinana amin'ny fampiasana ny serivisy (CT). Ny mpanome rahona dia afaka manampy amin'ny fitadiavana fihainoana; efa manolotra fitaovana manokana hanaraha-maso ny fifandraisana TLS ny orinasa lehibe sasany.
Ny fomba fiarovana iray hafa dia ho vaovao ACME, izay automatique ny fandraisana ny mari-pankasitrahana SSL. Amin'izay fotoana izay ihany koa dia hanampy mekanika fanampiny hanamarinana ny tompon'ilay tranokala. Bebe kokoa momba izany .
/flickr/ / CC BY
Prospects ho an'ny HTTPS
Na dia eo aza ny fahalemena marobe, ireo goavambe IT sy ny manam-pahaizana momba ny fiarovana ny vaovao dia matoky ny hoavin'ny protocol. Ho fampiharana mavitrika ny HTTPS Mpamorona WWW Tim Berners-Lee. Araka ny filazany, rehefa mandeha ny fotoana dia ho azo antoka kokoa ny TLS, izay hanatsara ny fiarovana ny fifandraisana. Nanolo-kevitra izany mihitsy aza i Berners-Lee taratasy fanamarinana ny mpanjifa ho fanamarinana ny maha-izy azy. Hanampy amin'ny fanatsarana ny fiarovana ny mpizara amin'ny mpanafika izy ireo.
Mikasa ihany koa ny hampivelatra ny teknolojia SSL/TLS amin'ny alΓ lan'ny fianarana milina - ny algorithm marani-tsaina dia ho tompon'andraikitra amin'ny fanivanana ny fifamoivoizana maloto. Miaraka amin'ny fifandraisana HTTPS, ny mpitantana dia tsy manana fomba hahitana ny votoatin'ny hafatra miafina, ao anatin'izany ny fitadiavana ny fangatahana avy amin'ny malware. Amin'izao fotoana izao, ny tambajotra neural dia afaka manivana fonosana mety hampidi-doza miaraka amin'ny fahamarinan'ny 90%. ().
hitany
Ny ankamaroan'ny fanafihana amin'ny HTTPS dia tsy mifandray amin'ny olana ao amin'ny protocol mihitsy, fa amin'ny fanohanan'ny rafitra fanafenana efa lany andro. Ny indostrian'ny IT dia manomboka mandao tsikelikely ny protocoles taranaka teo aloha ary manolotra fitaovana vaovao hitadiavana ireo vulnerable. Amin'ny hoavy, ireo fitaovana ireo dia ho lasa manan-tsaina kokoa.
Rohy fanampiny momba ny lohahevitra:
Source: www.habr.com