ProHoster > Blog > Pulega > Faʻalavelave osofaʻiga i le HTTPS ma le auala e puipuia mai ai

Faʻalavelave osofaʻiga i le HTTPS ma le auala e puipuia mai ai

afa o saite fa'aaoga HTTPS, ma ua faateleina pea lo latou aofaʻi. O le fa'atonuga e fa'aitiitia ai le lamatiaga o le fa'alavelave fa'alavelave, ae e le fa'ate'aina ai osofa'iga fa'apea. O le a tatou talanoa e uiga i nisi o latou - PODLE, BEAST, DROWN ma isi - ma auala o le puipuiga i a tatou mea.

Faʻalavelave osofaʻiga i le HTTPS ma le auala e puipuia mai ai
/flickr/ Sven Graeme / CC BY-SA

PODLE

Mo le taimi muamua e uiga i le osofaʻiga PODLE na iloa i le 2014. O se fa'aletonu i le SSL 3.0 protocol na maua e le fa'amatalaga fa'apitoa mo le puipuiga o Bodo Möller ma ana pa'aga mai Google.

O lona uiga e faʻapea: e faʻamalosia e le tagata taʻavale le kalani e faʻafesoʻotaʻi e ala i le SSL 3.0, faʻataʻitaʻiina le va o fesoʻotaʻiga. Ona su'e lea i le fa'ailoga CBC-faiga feoaiga fe'au fa'ailoga fa'apitoa. I le fa'aaogaina o se fa'asologa o talosaga fa'asese, e mafai ai e le tagata osofa'i ona toe fausia mea o lo'o i totonu o fa'amaumauga e fiafia i ai, e pei o kuki.

SSL 3.0 ose fa'asologa tuai. Ae o le fesili i lona saogalemu e talafeagai pea. E fa'aogaina e tagata fa'atau e aloese ai mai fa'afitauli feso'ota'iga ma 'au'aunaga. E tusa ai ma nisi faʻamatalaga, toetoe lava 7% o le 100 afe nofoaga sili ona lauiloa lagolago pea SSL 3.0. E faapena foi i ai suiga ile POODLE e fa'atatau ile TLS 1.0 ma le TLS 1.1 fa'aonaponei. O lenei tausaga faaali mai osofaʻiga fou Zombie POODLE ma GOLDENDOODLE e faʻafefe ai le TLS 1.2 puipuiga (o loʻo fesoʻotaʻi pea ma CBC encryption).

Auala e puipuia ai oe lava. I le tulaga o le uluai POODLE, e tatau ona e tapeina le lagolago SSL 3.0. Ae ui i lea, i lenei tulaga o loʻo i ai se tulaga lamatia o faʻafitauli fetaui. O se isi fofo e mafai ona avea ma TLS_FALLBACK_SCSV masini - e fa'amautinoa ai o fa'amatalaga fa'amatalaga e ala i le SSL 3.0 o le a na'o faiga tuai. O le a le toe mafai e le au osofa'i ona amata le fa'alaloina o tulafono. O se auala e puipuia ai mai le Zombie PODLE ma GOLDENDOODLE o le tapeina lea o le lagolago a le CBC i TLS 1.2-faʻavae talosaga. O le fofo faʻapitoa o le a avea ma suiga i le TLS 1.3 - o le lomiga fou o le protocol e le faʻaogaina le CBC encryption. Nai lo lena, e sili atu le umi AES ma ChaCha20 faʻaaogaina.

PISI

O se tasi o osofaʻiga muamua i SSL ma TLS 1.0, na maua i le 2011. Pei o PODLE, MANU faʻaaoga fa'ailoga ole CBC encryption. E fa'apipi'i e le au osofa'i se sui JavaScript po'o le Java applet i luga o le masini kalani, lea e sui ai fe'au pe a fa'asalalau fa'amaumauga i luga ole TLS po'o le SSL. Talu ai e iloa e le au osofaʻi mea o loʻo i totonu o pusa "dummy", e mafai ona latou faʻaaogaina e faʻamalo ai le amataga o le vector ma faitau isi feʻau i le 'auʻaunaga, e pei o kuki faʻamaonia.

E oʻo mai i le taimi nei, o loʻo tumau pea faʻafitauli a le BEAST le tele o mea faigaluega feso'otaiga e faigofie: Polofe'au 'au'aunaga ma talosaga mo le puipuia o faitoto'a Initaneti i le lotoifale.

Auala e puipuia ai oe lava. E manaʻomia e le tagata osofaʻi ona tuʻuina atu talosaga masani e faʻamalo faʻamaumauga. I le VMware fautua fa'aitiitia le umi ole SSLSessionCacheTimeout mai le lima minute (fautua fa'aletonu) ile 30 sekone. O lenei faiga o le a atili ai ona faigata mo tagata osofaʻi ona faʻatinoina a latou fuafuaga, e ui lava o le ai ai ni aʻafiaga leaga i le faʻatinoga. E le gata i lea, e tatau ona e malamalama o le faʻafitauli o le BEAST atonu e le o toe mamao ae avea ma mea o le taimi ua tuanaʻi - talu mai le 2020, o le tele o suʻesuʻega. taofi lagolago mo TLS 1.0 ma le 1.1. I so'o se tulaga, e itiiti ifo i le 1,5% o tagata su'esu'e uma o lo'o galulue fa'atasi ma nei tulafono.

MAlelemo

O se osofaʻiga faʻafefeteina lea e faʻaogaina ai faʻamaʻi i le faʻatinoga o SSLv2 faʻatasi ai ma 40-bit RSA ki. E fa'alogo le tagata osofa'i i le fiaselau o feso'ota'iga TLS o le fa'amoemoe ma tu'uina atu pepa fa'apitoa i se server SSLv2 e fa'aaoga ai le ki patino lava e tasi. Fa'aaogaina Bleichenbacher osofaiga, e mafai e se tagata ta'avale ona fa'asese se tasi o le tusa ma le afe tagata fa'atau TLS sauniga.

2016 na iloa muamua le DROWN - ona i'u ai lea o le tasi vaetolu o sapalai ua afaina i le lalolagi. O aso nei e le'i aveesea lona taua. Mai le 150 afe nofoaga sili ona lauiloa, 2% o loʻo i ai pea lagolago SSLv2 ma fa'ailoga fa'ailoga fa'aletonu.

Auala e puipuia ai oe lava. E manaʻomia le faʻapipiʻiina o patches na faʻatulagaina e le au atiaʻe o faletusi faʻataʻitaʻi e faʻagata ai le lagolago SSLv2. Mo se faʻataʻitaʻiga, e lua ia patches na tuʻuina atu mo OpenSSL (i le 2016 o fa'afouga nei 1.0.1s ma le 1.0.2g). E le gata i lea, o faʻamatalaga ma faʻatonuga mo le faʻagataina o le faʻalavelave faʻaleagaina na faʻasalalau i totonu Red Hat, Apache, Debian.

"O se punaoa e mafai ona afaina i le DROWN pe a fai o ana ki e faʻaaogaina e se isi vaega lona tolu ma SSLv2, e pei o se meli meli," o le tala lea a le ulu o le matagaluega o atinaʻe. IaaS kamupani 1cloud.ru Sergei Belkin. - E tupu lenei tulaga pe a faʻaaogaina e le tele o sapalai se tusi faamaonia SSL masani. I lenei tulaga, e tatau ona e tapeina le lagolago SSLv2 i masini uma."

E mafai ona e siaki pe manaʻomia le faʻafouina o lau polokalama e faʻaaoga ai se faʻapitoa mea faigaluega - na atiaʻe e faʻamatalaga faʻapitoa faʻapitoa na latou mauaina le DROWN. E mafai ona e faitau atili e uiga i fautuaga e fesoʻotaʻi ma le puipuiga mai lenei ituaiga o osofaʻiga i totonu lafo i luga ole upegatafa'ilagi OpenSSL.

Loto loto

O se tasi o faʻafitauli sili ona tele i le polokalama o le Loto loto. Na maua i le 2014 i le faletusi OpenSSL. I le taimi o le faʻasalalauga bug, le numera o upega tafaʻilagi vaivai e tusa ma le afa miliona - e tusa lea ma le 17% o punaoa puipuia i luga o le upega tafailagi.

O le osofaʻiga e faʻatinoina e ala i le laititi Heartbeat TLS faʻaopoopoga module. O le TLS protocol e mana'omia le tu'uina atu pea o fa'amaumauga. I le tulaga o le faaumiumi o le taimi malolo, e tupu se malologa ma e tatau ona toe faʻaleleia le fesoʻotaʻiga. Ina ia faʻafetaui le faʻafitauli, o loʻo faʻaogaina e le auʻaunaga ma tagata faʻatau le "piso" le alalaupapa (RFC 6520, itulau 5), fa'asalalauina se afifi e fa'afuase'i le umi. Afai e lapo'a nai lo le ato atoa, ona faitau lea o fa'amatalaga vaivai o OpenSSL i tua atu o le pa'u tu'ufa'atasia. O lenei vaega e mafai ona i ai soʻo se faʻamatalaga, e aofia ai ki faʻamatalaga patino ma faʻamatalaga e uiga i isi fesoʻotaʻiga.

O le faʻafitauli na i ai i faʻasalalauga uma o le faletusi i le va o le 1.0.1 ma le 1.0.1f e aofia ai, faʻapea foʻi ma le tele o faiga faʻaogaina - Ubuntu e oʻo atu i le 12.04.4, CentOS e sili atu nai lo 6.5, OpenBSD 5.3 ma isi. E iai le lisi atoa i luga o se upega tafaʻilagi faʻapitoa mo Heartbleed. E ui lava na faʻasaʻolotoina faʻasaga i lenei faʻafitauli i le taimi lava na maua ai, o le faʻafitauli e tumau pea le talafeagai e oʻo mai i le aso. I tua i le 2017 toetoe lava 200 afe nofoaga sa galulue, a'afia i le Heartbleed.

Auala e puipuia ai oe lava. E tatau fa'afou OpenSSL e oʻo i le version 1.0.1g poʻo le maualuga. E mafai fo'i ona e tapeina ma le lima talosaga Fa'ato'ato'a fa'aaoga le filifiliga DOPENSSL_NO_HEARTBEATS. A maeʻa le faʻafouga, faʻapitoa faʻamatalaga saogalemu fautua toe tuuina atu tusi faamaonia SSL. E manaʻomia se sui i le tulaga o faʻamatalaga i luga o faʻamatalaga faʻamaufaʻailoga e muta i lima o tagata taʻavale.

Suiga tusi faamaonia

O lo'o fa'apipi'iina se node fa'atonutonu ma se tusi fa'amaonia SSL i le va o le tagata fa'aoga ma le 'au'aunaga, ma fa'alavelave fa'alavelave feoaiga. O lenei node o loʻo faʻatusalia se 'auʻaunaga tatau e ala i le tuʻuina atu o se tusi faamaonia aoga, ma e mafai ona faia se osofaʻiga MITM.

E tusa ai suʻesuʻega 'au mai Mozilla, Google ma le tele o iunivesite, e tusa ma le 11% o fesoʻotaʻiga malupuipuia i luga o le upega tafaʻilagi e faʻalogo. O le i'uga lea o le fa'apipi'iina o tusi faamaonia a'a masalomia i komepiuta a tagata fa'aoga.

Auala e puipuia ai oe lava. Fa'aaoga auaunaga a le faatuatuaina SSL e tu'uina atu. E mafai ona e siakiina le "lelei" o tusi faamaonia e faʻaaoga ai le auaunaga Fa'amaonia Fa'amaonia (CT). E mafai fo'i ona fesoasoani le 'au'aunaga o le ao i le su'eina o le fa'alogo fa'alogo;

O le isi auala o le puipuiga o le a fou tulaga masani ACME, lea e otometi le mauaina o tusi faamaonia SSL. I le taimi lava e tasi, o le a faʻaopoopoina faʻamatalaga faʻapitoa e faʻamaonia ai le pule o le saite. E uiga i ai sa matou tusia i se tasi oa matou mea na muamua atu.

Faʻalavelave osofaʻiga i le HTTPS ma le auala e puipuia mai ai
/flickr/ Yuri Samoilov / CC BY

Fa'amoemoega mo HTTPS

E ui lava i le tele o faʻafitauli, o loʻo faʻatuatuaina e le IT tele ma tagata tomai faʻamatalaga faʻamatalaga i le lumanaʻi o le protocol. Mo le faʻatinoina o le HTTPS tutu WWW foafoa Tim Berners-Lee. E tusa ai ma ia, i le aluga o taimi TLS o le a sili atu ona malupuipuia, lea o le a faʻaleleia atili ai le saogalemu o fesoʻotaʻiga. Na fautuaina foi e Berners-Lee lena mea o le a aliali mai i le lumanaʻi tusi faamaonia a le tagata o tausia mo le fa'amaoniaina o fa'amatalaga. O le a latou fesoasoani e faʻaleleia le puipuiga o le server mai tagata osofaʻi.

O loʻo fuafua foʻi e atiaʻe tekinolosi SSL / TLS e faʻaaoga ai masini aʻoaʻoga - atamai algorithms o le a nafa ma le faʻamamaina o fefaʻatauaiga leaga. Faatasi ai ma fesoʻotaʻiga HTTPS, e leai se auala e suʻe ai e le au pulega mea o loʻo i totonu o feʻau faʻailoga, e aofia ai le sailia o talosaga mai malware. I le taimi nei, o fesoʻotaʻiga neural e mafai ona faʻamama faʻailoga mataʻutia ma le 90% saʻo. (fa'aaliga ata 23).

sailiiliga

Ole tele ole osofa'iga ile HTTPS e le feso'ota'i ma fa'afitauli i le protocol lava ia, ae ia lagolago mo faiga fa'ailoga ua leva. O loʻo amata ona faʻagasolo malie e le IT alamanuia faʻasalalauga faʻasalalauga talu ai ma ofoina atu meafaigaluega fou mo le suʻeina o faʻafitauli. I le lumanaʻi, o nei meafaigaluega o le a faʻateleina le atamai.

So'oga fa'aopoopo ile autu:

puna: www.habr.com

Faaopoopo i ai se faamatalaga