ProHoster > Π‘Π»ΠΎΠ³ > Maamulka > Weerarada suurtagalka ah ee HTTPS iyo sida looga ilaaliyo iyaga

Weerarada suurtagalka ah ee HTTPS iyo sida looga ilaaliyo iyaga

Goobaha kala bar adeegsada HTTPS, tiradooduna si joogto ah ayay u kordheysaa. Hab-maamuusku waxa uu yareeyaa khatarta ka-hortagga taraafikada, laakiin ma baabi'iyo isku-dayga weerarradaas oo kale. Waxaan ka hadli doonaa qaar iyaga ka mid ah - POODLE, BEAST, DROWN iyo kuwa kale - iyo hababka ilaalinta ee alaabtayada.

Weerarada suurtagalka ah ee HTTPS iyo sida looga ilaaliyo iyaga
/flickr/ Sven Graeme / CC BY-SA

POODLE

Markii ugu horeysay ee ku saabsan weerarka POODLE la ogaaday 2014kii. Nuglaanta nidaamka SSL 3.0 waxaa ogaaday khabiirka amniga macluumaadka Bodo MΓΆller iyo asxaabtiisa Google.

Nuxurkeedu waa sida soo socota: Hackers-ku wuxuu ku qasbaa macmiilka inuu ku xidho SSL 3.0, isagoo ku dayanaya jebinta xidhiidhka. Kadibna waxay ka baadhaysaa sir CBC-habka taraafikada fariimaha tag gaarka ah. Isticmaalka codsiyo isdaba joog ah oo been abuur ah, weeraryahanku wuxuu awoodaa inuu dib u dhiso waxa ku jira xogta xiisaha, sida cookies.

SSL 3.0 waa borotokool duugoobay. Laakiin su'aasha ammaankiisa ayaa weli ku habboon. Macaamiishu waxay u isticmaalaan si ay uga fogaadaan arrimaha ku habboon server-yada. Sida laga soo xigtay xogta qaar ka mid ah, ku dhawaad ​​7% ee 100 kun ee goobaha ugu caansan wali waxay taageertaa SSL 3.0. Sidoo kale jiraan wax ka beddelka POODLE ee bartilmaameedsanaya TLS 1.0 iyo TLS 1.1. Sanadkaan muuqday Weerarrada cusub ee Zombie POODLE iyo GOLDENDOODLE ee dhaafa ilaalinta TLS 1.2 (waxay weli ku xidhan yihiin sirta CBC).

Sida loo difaaco naftaada. Xaaladda POODLE asalka ah, waxaad u baahan tahay inaad joojiso taageerada SSL 3.0. Si kastaba ha ahaatee, kiiskan waxaa jira khatar ah dhibaatooyinka iswaafajinta. Xalka beddelka ah wuxuu noqon karaa habka TLS_FALLBACK_SCSV - waxay hubisaa in xogta la isku dhaafsado SSL 3.0 kaliya lagu fulin doono habab hore. Weeraryahanadu ma awoodi doonaan inay bilaabaan hoos u dhigista borotokoolka. Habka looga ilaaliyo Zombie POODLE iyo GOLDENDOODLE waa in la joojiyo taageerada CBC ee codsiyada ku saleysan TLS 1.2. Xalka ugu muhiimsan wuxuu noqon doonaa u gudubka TLS 1.3 - nooca cusub ee borotokoolka ma isticmaalo sirta CBC. Taa baddalkeeda, AES iyo ChaCha20 waara ayaa la isticmaalaa.

DHAQAN

Mid ka mid ah weerarradii ugu horreeyay ee SSL iyo TLS 1.0, oo la helay 2011. Sida POODLE, BEAST adeegsadaa sifooyinka sirta CBC Weeraryahanadu waxay ku rakibaan wakiilka JavaScript ama applet Java mashiinka macmiilka, kaas oo bedelaya fariimaha marka xogta lagu gudbinayo TLS ama SSL. Maaddaama ay weerarradu og yihiin waxa ku jira baakidhyada β€œdummy”, waxay u isticmaali karaan inay kala furfuraan vector-ka bilawga ah oo ay u akhriyaan farriimaha kale ee server-ka, sida cookies-ka xaqiijinta.

Laga bilaabo maanta, dayacanka BEAST ayaa weli ah tiro ka mid ah qalabka shabakada ayaa u nugul: Server-yada wakiillada iyo codsiyada ilaalinta albaabada internetka ee deegaanka.

Sida loo difaaco naftaada. Weerarku wuxuu u baahan yahay inuu soo diro codsiyo joogto ah si uu u furfuro xogta. Gudaha VMware ku talin yaree muddada SSLSessionCacheTimeout shan daqiiqo (talinta ugu talagalka ah) ilaa 30 ilbiriqsi. Habkani wuxuu ka dhigi doonaa mid aad u adag in weeraryahannada ay fuliyaan qorshahooda, inkastoo ay saameyn xun ku yeelan doonto waxqabadka. Intaa waxaa dheer, waxaad u baahan tahay inaad fahamto in nuglaanta BEAST ay dhowaan noqon karto wax la soo dhaafay kaligiis - ilaa 2020, daalacashada ugu weyn joojin Taageerada TLS 1.0 iyo 1.1. Si kastaba ha ahaatee, in ka yar 1,5% dhammaan isticmaalayaasha browserka waxay la shaqeeyaan borotokoolladan.

QURXOON

Kani waa weerar hab-maamuus ah oo ka faa'iidaysta dhiqlaha hirgelinta SSLv2 leh furayaasha 40-bit ee RSA. Weeraryahanku waxa uu dhageystaa boqollaal isku xidhka TLS ee bartilmaameedka oo u soo dira xidhmo gaar ah serverka SSLv2 isaga oo isticmaalaya fure isku mid ah. Isticmaalka Bleichenbacher weerar, Hackers-ku wuxuu furfuri karaa mid ka mid ah ilaa kun kalfadhi oo macmiil ah TLS.

DROWN ayaa markii ugu horreysay la ogaaday 2016 - ka dibna waxay noqotay Saddex meelood meel server-yada ayaa saameeya aduunka. Maanta ma lumin wax ku habboon. 150 kun oo ka mid ah goobaha ugu caansan, 2% ayaa weli ah taageero SSLv2 iyo hababka sireed ee nugul.

Sida loo difaaco naftaada. Waa lagama maarmaan in la rakibo balastar ay soo jeediyaan horumariyayaasha maktabadaha cryptographic ee joojiya taageerada SSLv2. Tusaale ahaan, laba balastar oo noocaas ah ayaa loo soo bandhigay OpenSSL (2016 kuwani waxay ahaayeen updates 1.0.1s iyo 1.0.2g). Sidoo kale, cusbooneysiinta iyo tilmaamaha curyaaminta borotokoolka nugul ayaa lagu daabacay Red Hat, Apache, Debian.

"Khayraadka waxaa laga yaabaa inay u nuglaadaan DROWN haddii furayaasha ay isticmaalaan server-ka saddexaad ee SSLv2, sida server-ka boostada," ayuu yiri madaxa waaxda horumarinta Bixiyaha IaaS 1cloud.ru Sergei Belkin. - Xaaladdani waxay dhacdaa haddii dhowr server ay isticmaalaan shahaadada SSL ee caadiga ah. Xaaladdan oo kale, waxaad u baahan tahay inaad joojiso taageerada SSLv2 dhammaan mishiinnada."

Waxaad hubin kartaa in nidaamkaagu u baahan yahay in la cusboonaysiiyo adoo isticmaalaya mid gaar ah yutiilitida - waxaa soo saaray khubaro ku taqasusay amniga macluumaadka kuwaas oo helay DARAWN. Waxaad ka akhrisan kartaa wax badan oo ku saabsan talooyinka la xiriira ka hortagga weerarka noocan ah gudaha ku dheji shabakada OpenSSL.

Isku-kalsoonow

Mid ka mid ah baylahda ugu weyn ee software waa Isku-kalsoonow. Waxaa laga helay 2014 maktabadda OpenSSL. Waqtiga lagu dhawaaqay bug, tirada mareegaha nugul waxaa lagu qiyaasay nus milyan - tani waa qiyaastii 17% ilaha la ilaaliyo ee shabakada.

Weerarka waxaa lagu fuliyay iyada oo loo marayo qaybta yar ee Wadnaha garaaca TLS. Xeerka TLS wuxuu u baahan yahay in xogta si joogto ah loo gudbiyo. Haddii ay dhacdo wakhti-dhimis oo dheeraad ah, nasasho ayaa dhacaysa oo xidhiidhka waa in dib loo soo celiyaa. Si loola tacaalo dhibaatada, adeegayaasha iyo macaamiisha ayaa si macmal ah u "qeylada" kanaalka (RFC 6520, p.5), gudbinta baakidh dherer aan toos ahayn. Haddii ay ka weynayd baakidhka oo dhan, markaas noocyada nugul ee OpenSSL waxay akhriyaan xusuusta ka baxsan kaydka loo qoondeeyey. Aaggan waxa ku jiri kara xog kasta, oo ay ku jiraan furayaasha sirta ah ee gaarka ah iyo macluumaadka ku saabsan xidhiidhada kale.

Nuglaanta ayaa ka jirtay dhammaan noocyada maktabadda inta u dhaxaysa 1.0.1 iyo 1.0.1f, iyo sidoo kale tiro ka mid ah nidaamyada hawlgalka - Ubuntu ilaa 12.04.4, CentOS ka weyn 6.5, OpenBSD 5.3 iyo kuwa kale. Waxaa jira liis dhamaystiran ku yaal mareeg loogu talagalay Heartbleed. Inkastoo balastar ka dhan ah dayacankaani la sii daayay ku dhawaad ​​isla markiiba ka dib markii la helay, dhibaatadu ilaa maantadan ayay taagan tahay. Dib ugu noqo 2017 ku dhawaad ​​200 kun oo goobood ayaa shaqeeyay, oo u nugul Dhiig-baxa Wadnaha.

Sida loo difaaco naftaada. Waa lagama maarmaan cusbooneysii OpenSSL ilaa nooca 1.0.1g ama ka sareeya. Waxa kale oo aad gacanta ku joojin kartaa codsiyada Wadnaha adiga oo isticmaalaya ikhtiyaarka DPENSSL_NO_HEARTBEATS. Cusboonaysiinta ka dib, khabiirada amniga macluumaadka ku talin dib u soo saarida shahaadooyinka SSL Beddel ayaa loo baahan yahay haddii xogta furayaasha sirtu ay ku dhamaato gacmaha tuugta.

Beddelka shahaadada

Nood la maareeyay oo leh shahaado SSL oo sharci ah ayaa lagu dhex rakibay isticmaalaha iyo serferka, iyadoo si firfircoon u joojinaysa taraafikada. noodhkani waxa uu iska dhigayaa server-ka sharciga ah isagoo soo bandhigaya shahaado ansax ah, oo waxa suurto gal ah in la qaado weerarka MITM.

Sida laga soo xigtay cilmi baaris kooxaha Mozilla, Google iyo tiro jaamacado ah, ku dhawaad ​​11% ee xidhiidhada sugan ee shabakada ayaa la dhegaystay. Tani waa natiijada ku-kicinta shahaadooyinka xididka shakiga leh ee kombuyuutarrada isticmaalaha.

Sida loo difaaco naftaada. Isticmaal adeegyada la isku halayn karo Bixiyaasha SSL. Waxaad hubin kartaa "tayada" shahaadooyinka adoo isticmaalaya adeegga Hufnaanta Shahaadada (CT). Bixiyeyaasha daruuraha ayaa sidoo kale kaa caawin kara ogaanshaha dhageysiga; shirkadaha waaweyn qaarkood ayaa horeyba u bixiya qalab gaar ah oo lagula socdo isku xirka TLS.

Habka kale ee ilaalinta ayaa noqon doona mid cusub heerka ACME, oo otomaatig u ah helitaanka shahaadooyinka SSL. Isla mar ahaantaana, waxay ku dari doontaa habab dheeraad ah si loo xaqiijiyo mulkiilaha goobta. Wax badan oo ku saabsan Waxaan ku qornay mid ka mid ah agabkayagii hore.

Weerarada suurtagalka ah ee HTTPS iyo sida looga ilaaliyo iyaga
/flickr/ Yuri Samoylov / CC BY

Rajada HTTPS

In kasta oo ay jiraan tiro dayacan oo badan, IT-ga IT-ga iyo khubarada amniga macluumaadka ayaa ku kalsoon mustaqbalka borotokoolka. Si loo hirgaliyo HTTPS firfircoon u dooda Abuuraha WWW Tim Berners-Lee. Sida laga soo xigtay isaga, waqti ka dib TLS waxay noqon doontaa mid amaan ah, taas oo si weyn u wanaajin doonta amniga isku xirka. Berners-Lee xitaa taas ayuu soo jeediyay soo muuqan doona mustaqbalka shahaadooyinka macmiilka ee xaqiijinta aqoonsiga. Waxay gacan ka geysan doonaan hagaajinta ilaalinta server-ka ee weerarayaasha.

Waxaa sidoo kale la qorsheeyay in la horumariyo tignoolajiyada SSL/TLS iyadoo la adeegsanayo barashada mashiinka - algorithms-yada caqliga leh ayaa mas'uul ka noqon doona shaandhaynta taraafigyada xaasidnimada leh. Xidhiidhada HTTPS, maamulayaashu ma haystaan ​​hab ay ku ogaadaan waxa ku jira fariimaha sirta ah, oo ay ku jirto ogaanshaha codsiyada malware-ka. Durba maanta, shabakadaha neerfaha ayaa awood u leh inay sifeeyaan baakadaha khatarta ah ee 90% saxsan. (slide soobandhig 23).

natiijooyinka

Inta badan weerarrada HTTPS kuma xirna dhibaatooyinka borotokoolka laftiisa, laakiin si ay u taageeraan hababka sirta ah ee duugoobay. Warshadaha IT-ga waxay bilaabayaan inay si tartiib tartiib ah uga tanaasulaan hab-maamuuska jiilkii hore oo ay bixiyaan qalab cusub oo lagu raadinayo dayacanka. Mustaqbalka, qalabkani waxa ay noqonayaan kuwo caqli badan.

Xiriirinta dheeraadka ah ee mowduuca:

Source: www.habr.com

Add a comment