Ko nga whakaeke pea i runga i te HTTPS me pehea te tiaki i a raatau

Te haurua o nga pae whakamahi HTTPS, kei te piki haere tonu to ratou tokomaha. Ka whakaitihia e te kawa te morearea o te haukoti waka, engari kaore e whakakore i nga whakaeke ngana penei. Ka korero tatou mo etahi o ratou - POODLE, BEAST, DROWN me etahi atu - me nga tikanga tiaki i a tatou rauemi.

/flickr/ Sven Graeme / CC NA SA

NGĀ PAI

Mo te wa tuatahi mo te whakaeke NGĀ PAI i mohiotia i te tau 2014. He whakaraeraetanga i roto i te kawa SSL 3.0 i kitea e te tohunga mo te haumaru korero a Bodo Möller me ona hoa mahi mai i a Google.

Ko te tino kaupapa e whai ake nei: ka akiakihia e te kaiwhaiwhai te kiritaki ki te hono ma te SSL 3.0, ka peehia nga wehenga hononga. Na ka rapu i roto i te whakamunatia CBC-ahua hokohoko nga karere tohu motuhake. Ma te whakamahi i te raupapa o nga tono tito, ka taea e te kaitukino te hanga ano i nga ihirangi o nga raraunga whai paanga, penei i nga pihikete.

He kawa tawhito te SSL 3.0. Engari ko te patai mo tona haumaru kei te whai kiko tonu. Ka whakamahia e nga kaihoko ki te karo i nga take hototahi me nga tūmau. E ai ki etahi raraunga, tata ki te 7% o te 100 mano nga waahi rongonui tautoko tonu SSL 3.0. Ano hoki noho whakarerekētanga ki te POODLE e aro ana ki te TLS 1.0 me te TLS 1.1 hou ake. I tenei tau puta mai Ko nga whakaeke hou a Zombie POODLE me GOLDENDOODLE e karo ana i te tiaki TLS 1.2 (kei te hono tonu ki te whakamunatanga CBC).

Me pehea te tiaki i a koe ano. I roto i te take o te POODLE taketake, me whakakorehia e koe te tautoko SSL 3.0. Heoi, i roto i tenei take he raruraru o nga raruraru hototahi. Ko tetahi atu otinga ko te tikanga TLS_FALLBACK_SCSV - ka whakarite ko te whakawhiti raraunga ma te SSL 3.0 ka mahia me nga punaha tawhito. Ka kore e taea e te hunga whakaeke te timata i nga whakahekenga kawa. Ko tetahi huarahi hei tiaki i a Zombie POODLE me GOLDENDOODLE ko te whakakore i te tautoko CBC i roto i nga tono TLS 1.2. Ko te otinga matua ko te whakawhiti ki te TLS 1.3 - kaore te putanga hou o te kawa e whakamahi whakamunatanga CBC. Engari, ka whakamahia te AES me te ChaCha20 roa ake.

WAI

Ko tetahi o nga whakaeke tuatahi mo SSL me TLS 1.0, i kitea i te tau 2011. Ka rite ki te POODLE, BEAST whakamahinga āhuatanga o te whakamunatanga CBC. Ka whakauruhia e te hunga whakaeke he kaihoko JavaScript, he aporoiti Java ranei ki runga i te miihini kiritaki, ka whakakapi i nga karere i te wa e tukuna ana nga raraunga ki runga i te TLS, i te SSL ranei. I te mea e mohio ana nga kaiwhaiwhai ki nga ihirangi o nga paatete "puke", ka taea e ratou te whakamahi ki te wetewete i te vector arawhiti me te panui i etahi atu karere ki te tūmau, penei i nga pihikete motuhēhēnga.

I tenei ra, kei te noho tonu nga whakaraeraetanga BEAST he maha nga taputapu whatunga kei te whakaraerae: Nga tūmau takawaenga me nga tono mo te tiaki i nga kuaha Ipurangi o te rohe.

Me pehea te tiaki i a koe ano. Me tuku tono auau te kaitawhai ki te wetewete i nga raraunga. I roto i te VMware tūtohu whakaitihia te roanga o SSLSessionCacheTimeout mai i te rima meneti (tautuhinga taunoa) ki te 30 hēkona. Ma tenei huarahi ka uaua ake mo te hunga whakaeke ki te whakatinana i o raatau mahere, ahakoa ka pa he kino ki te mahi. Hei taapiri, me maarama koe ko te whakaraeraetanga o te BEAST ka huri noa i a ia ano - mai i te 2020, nga kaitirotiro nui rawa atu. mutu tautoko mo TLS 1.0 me 1.1. Ahakoa he aha, iti iho i te 1,5% o nga kaiwhakamahi tirotiro katoa e mahi ana me enei tikanga.

TONO

He whakaeke kawa whakawhiti tenei e whakamahi ana i nga pepeke i roto i te whakatinanatanga o SSLv2 me nga taviri RSA 40-bit. Ka whakarongo te kaitukino ki nga rau o nga hononga TLS o te whaainga me te tuku i nga paatete motuhake ki tetahi tūmau SSLv2 ma te whakamahi i te kii motuhake. Te whakamahi Ko te whakaeke a Bleichenbacher, ka taea e te kaiwhai te wetewete i tetahi o te kotahi mano nga huihuinga TLS kiritaki.

I mohiotia tuatahitia a DROWN i te tau 2016 - katahi ka puta ka pa te hautoru o nga kaitoro i te ao. I tenei ra kaore i ngaro tona whaitake. O te 150 mano nga waahi rongonui, 2% kei te noho tonu tautoko SSLv2 me nga tikanga whakamunatanga whakaraerae.

Me pehea te tiaki i a koe ano. He mea tika ki te whakauru i nga papanga i whakaarohia e nga kaihanga o nga whare pukapuka cryptographic e whakakore ana i te tautoko SSLv2. Hei tauira, e rua nga papanga pera i whakaatuhia mo OpenSSL (i te tau 2016 he whakahou enei 1.0.1s me 1.0.2g). Ano hoki, i whakaputaina nga whakahoutanga me nga tohutohu mo te whakakore i te kawa whakaraerae Red Hat, Apache, Debian.

"Kei te whakaraerae tetahi rauemi ki te TOMO mena ka whakamahia ana ki e te tūmau tuatoru me SSLv2, penei i te tūmau mēra," ta te upoko o te tari whanaketanga. IaaS kaiwhakarato 1cloud.ru Sergei Belkin. — Ka puta tenei ahuatanga mena ka whakamahia e te maha o nga kaitoro he tiwhikete SSL noa. I tenei keehi, me whakakorehia e koe te tautoko SSLv2 i runga i nga miihini katoa."

Ka taea e koe te tirotiro mena me whakahou to punaha ma te whakamahi i tetahi kaupapa motuhake taputapu — i whakawhanakehia e nga tohunga mo te haumarutanga korero i kite i a DROWN. Ka taea e koe te panui atu mo nga taunakitanga e pa ana ki te whakamarumaru ki tenei momo whakaeke tuku ki te paetukutuku OpenSSL.

Mahuru

Ko tetahi o nga whakaraeraetanga nui rawa atu o te rorohiko Mahuru. I kitea i te tau 2014 i te whare pukapuka OpenSSL. I te wa o te panui bug, te maha o nga paetukutuku whakaraerae i kiia he hawhe miriona - tata ki te 17% o nga rauemi kua tiakina i runga i te whatunga.

Ka whakatinanahia te whakaeke na roto i te waahanga toronga iti Heartbeat TLS. Ko te kawa TLS me tuku nga raraunga i nga wa katoa. Mena ka roa te wa e paheke ana, ka pakaru te hononga, me whakaara ano te hononga. Hei whakatutuki i te raru, ka "haruru" nga kaitoro me nga kaihoko i te hongere (RFC 6520, wh.5), te tuku i tetahi paatete matapōkeretia te roa. Mēnā he nui ake i te pākete katoa, kātahi ko ngā putanga whakaraerae o OpenSSL ka panui te mahara ki tua atu i te parepare kua tohaina. Kei roto pea i tenei waahi etahi raraunga, tae atu ki nga taviri whakamunatanga motuhake me nga korero mo etahi atu hononga.

Ko te whakaraerae i roto i nga putanga katoa o te whare pukapuka i waenga i te 1.0.1 me te 1.0.1f whakauru, me te maha o nga punaha whakahaere - Ubuntu ki runga ki te 12.04.4, CentOS tawhito ake i te 6.5, OpenBSD 5.3 me etahi atu. He rarangi katoa i runga i te paetukutuku i whakatapua ki te Heartbleed. Ahakoa i tukuna mai nga paatete ki tenei whakaraeraetanga tata tonu i muri i tana kitenga, kei te mau tonu te raru ki tenei ra. Hoki mai i te tau 2017 tata ki te 200 mano nga waahi i mahi, whakaraerae ki te Heartbleed.

Me pehea te tiaki i a koe ano. He mea tika whakahou OpenSSL ki te putanga 1.0.1g teitei ake ranei. Ka taea hoki e koe te whakakore i nga tono Heartbeat ma te whakamahi i te whiringa DOPENSSL_NO_HEARTBEATS. I muri i te whakahou, nga tohunga mo te haumarutanga korero tūtohu tukuna ano nga tiwhikete SSL. Ka hiahiatia he whakakapinga mena ka mutu nga raraunga i runga i nga taviri whakamunatanga ki nga ringaringa o nga kaiwhai.

Tiwhikete whakakapinga

Kua whakauruhia he node whakahaere me te tiwhikete SSL tika ki waenga i te kaiwhakamahi me te tūmau, e kaha ana te haukoti i nga waka. Ko tenei node he tohu i tetahi tūmau tika ma te whakaatu i tetahi tiwhikete whaimana, ka taea te mahi whakaeke MITM.

E ai ki rangahau Ko nga roopu mai i Mozilla, Google me etahi o nga whare wananga, tata ki te 11% o nga hononga haumaru i runga i te whatunga kei te rongohia. Ko te hua tenei o te whakauru i nga tiwhikete pakiaka hihira ki nga rorohiko a nga kaiwhakamahi.

Me pehea te tiaki i a koe ano. Whakamahia nga ratonga pono Nga kaiwhakarato SSL. Ka taea e koe te tirotiro i te "kounga" o nga tiwhikete ma te whakamahi i te ratonga Maarama Tiwhikete (CT). Ka taea hoki e nga kaiwhakarato kapua te awhina ki te kite i te wawaotanga; kua tukuna e etahi kamupene nui nga taputapu motuhake mo te aro turuki i nga hononga TLS.

Ko tetahi atu tikanga tiaki he mea hou paerewa ACME, e whakaaunoa ana i te whiwhinga o nga tiwhikete SSL. I te wa ano, ka taapirihia etahi atu tikanga hei manatoko i te rangatira o te waahi. Ētahi atu kōrero i tuhia e matou ki tetahi o a matou rauemi o mua.

/flickr/ Yuri Samoilov / CC NA

Nga tumanakohanga mo te HTTPS

Ahakoa te maha o nga whakaraeraetanga, kei te maia nga tohunga nui IT me nga tohunga mo te haumaru korero mo te wa kei te heke mai o te kawa. Mo te whakatinanatanga kaha o HTTPS tu ana Kaihanga WWW Tim Berners-Lee. E ai ki a ia, i te wa ka kaha ake te TLS, ka tino pai ake te haumarutanga o nga hononga. I kii ano a Berners-Lee ka puta a muri ake nei tiwhikete kiritaki mo te motuhēhēnga tuakiri. Ka awhina ratou ki te whakapai ake i te whakamarumaru o te tūmau mai i nga kaiwhaiwhai.

Kei te whakamaheretia hoki ki te whakawhanake i te hangarau SSL/TLS ma te ako miihini - ma nga algorithms atamai te kawenga mo te tarai i nga waka kino. Ma nga hononga HTTPS, kaore he huarahi a nga kaiwhakahaere ki te rapu i nga korero o nga karere whakamunatia, tae atu ki te rapu tono mai i te malware. I tenei ra, ka taea e nga whatunga neural te tarai i nga paatete kino me te 90% tika. (whakaaturanga whakaaturanga 23).

kitenga

Ko te nuinga o nga whakaeke i runga i te HTTPS kaore e pa ana ki nga raruraru me te kawa ake, engari ki te tautoko i nga tikanga whakamunatanga tawhito. Kei te timata te ahumahi IT ki te whakarere haere i nga tikanga reanga o mua me te tuku taputapu hou mo te rapu whakaraeraetanga. Hei nga ra kei mua, ka piki ake te mohio o enei taputapu.

He hononga taapiri mo te kaupapa:

• Te whakawhanaketanga i roto i te kapua, te haumaru korero me nga raraunga whaiaro: keri mai i te 1cloud
• SSL digest: Ko nga rauemi tino pai mo Habré me etahi atu
• VPN digest: Nga tuhinga whakataki mo Habré me etahi atu

Source: will.com