Idaji awọn aaye , ati pe nọmba wọn n pọ si ni imurasilẹ. Ilana naa dinku eewu idawọle ijabọ, ṣugbọn ko ṣe imukuro awọn ikọlu igbiyanju bii iru bẹẹ. A yoo sọrọ nipa diẹ ninu wọn - POODLE, BEAST, DROWN ati awọn miiran - ati awọn ọna aabo ninu ohun elo wa.
/flickr/ / CC BY-SA
POODLE
Fun igba akọkọ nipa ikọlu di mimọ ni 2014. Ailagbara kan ninu ilana SSL 3.0 ni a ṣe awari nipasẹ alamọja aabo alaye Bodo Möller ati awọn alabaṣiṣẹpọ lati Google.
Ohun pataki rẹ jẹ bi atẹle: agbonaeburuwole fi agbara mu alabara lati sopọ nipasẹ SSL 3.0, imulating awọn fifọ asopọ. Lẹhinna o wa ninu ti paroko -ijabọ mode pataki tag awọn ifiranṣẹ. Lilo lẹsẹsẹ awọn ibeere eke, ikọlu kan ni anfani lati tun awọn akoonu inu data ti iwulo ṣe, gẹgẹbi awọn kuki.
SSL 3.0 jẹ ilana ti igba atijọ. Ṣugbọn ibeere ti aabo rẹ tun jẹ pataki. Awọn alabara lo lati yago fun awọn ọran ibamu pẹlu awọn olupin. Gẹgẹbi diẹ ninu awọn data, o fẹrẹ to 7% ti 100 ẹgbẹrun awọn aaye olokiki julọ ... Kanna awọn iyipada si POODLE ti o fojusi TLS 1.0 igbalode diẹ sii ati TLS 1.1. Odun yi Zombie POODLE tuntun ati awọn ikọlu GOLDENDOODLE ti o fori aabo TLS 1.2 (wọn tun ni nkan ṣe pẹlu fifi ẹnọ kọ nkan CBC).
Bawo ni lati dabobo ara re. Ninu ọran ti POODLE atilẹba, o nilo lati mu atilẹyin SSL 3.0 kuro. Sibẹsibẹ, ninu ọran yii o wa eewu ti awọn iṣoro ibamu. Ojutu yiyan le jẹ ẹrọ TLS_FALLBACK_SCSV - o ṣe idaniloju pe paṣipaarọ data nipasẹ SSL 3.0 yoo ṣee ṣe pẹlu awọn eto agbalagba nikan. Awọn ikọlu kii yoo ni anfani lati pilẹṣẹ awọn idinku ilana ilana. Ọna kan lati daabobo lodi si Zombie POODLE ati GOLDENDOODLE ni lati mu atilẹyin CBC ṣiṣẹ ni awọn ohun elo orisun TLS 1.2. Ojutu ipilẹṣẹ yoo jẹ iyipada si TLS 1.3 - ẹya tuntun ti ilana naa ko lo fifi ẹnọ kọ nkan CBC. Dipo, diẹ sii AES ti o tọ ati ChaCha20 ni a lo.
ÀFẸ́
Ọkan ninu awọn ikọlu akọkọ pupọ lori SSL ati TLS 1.0, ti a ṣe awari ni ọdun 2011. Bi POODLE, BEAST awọn ẹya ara ẹrọ ti CBC ìsekóòdù. Awọn ikọlu fi oluranlowo JavaScript kan tabi applet Java sori ẹrọ alabara, eyiti o rọpo awọn ifiranṣẹ nigba gbigbe data sori TLS tabi SSL. Niwọn igba ti awọn ikọlu mọ awọn akoonu ti awọn apo-iwe “idinku”, wọn le lo wọn lati ṣokuro fekito ipilẹṣẹ ati ka awọn ifiranṣẹ miiran si olupin naa, gẹgẹbi awọn kuki ìfàṣẹsí.
Titi di oni, awọn ailagbara BEAST wa : Awọn olupin aṣoju ati awọn ohun elo fun idabobo awọn ẹnu-ọna Intanẹẹti agbegbe.
Bawo ni lati dabobo ara re. Olukọni naa nilo lati firanṣẹ awọn ibeere deede lati kọ data naa. Ninu VMware dinku iye akoko SSLSessionCacheTimeout lati iṣẹju marun (iṣalaye aiyipada) si awọn aaya 30. Ọna yii yoo jẹ ki o nira diẹ sii fun awọn ikọlu lati ṣe awọn ero wọn, botilẹjẹpe yoo ni ipa odi lori iṣẹ ṣiṣe. Ni afikun, o nilo lati loye pe ailagbara BEAST le di ohun ti o ti kọja lori tirẹ - lati ọdun 2020, awọn aṣawakiri ti o tobi julọ atilẹyin fun TLS 1.0 ati 1.1. Ni eyikeyi idiyele, o kere ju 1,5% ti gbogbo awọn olumulo aṣawakiri ṣiṣẹ pẹlu awọn ilana wọnyi.
DÚN
Eyi jẹ ikọlu ilana-agbelebu ti o lo awọn idun ni imuse ti SSLv2 pẹlu awọn bọtini RSA 40-bit. Olukọni naa tẹtisi awọn ọgọọgọrun awọn asopọ TLS ti ibi-afẹde ati firanṣẹ awọn apo-iwe pataki si olupin SSLv2 nipa lilo bọtini ikọkọ kanna. Lilo , agbonaeburuwole le dinku ọkan ninu bii ẹgbẹrun awọn akoko TLS alabara.
DROWN akọkọ di mimọ ni 2016 - lẹhinna o wa ni jade lati jẹ ni agbaye. Loni o ko padanu ibaramu rẹ. Ninu 150 ẹgbẹrun awọn aaye olokiki julọ, 2% ṣi wa SSLv2 ati awọn ilana fifi ẹnọ kọ nkan jẹ ipalara.
Bawo ni lati dabobo ara re. O jẹ dandan lati fi awọn abulẹ sori ẹrọ ti awọn olupilẹṣẹ ti awọn ile-ikawe cryptographic ti o mu atilẹyin SSLv2 ṣiṣẹ. Fun apẹẹrẹ, iru awọn abulẹ meji ni a gbekalẹ fun OpenSSL (ni ọdun 2016 1.0.1s ati 1.0.2g). Paapaa, awọn imudojuiwọn ati awọn ilana fun piparẹ ilana ti o ni ipalara ni a gbejade ni , , .
"Ohun elo kan le jẹ ipalara si DROWN ti awọn bọtini rẹ ba lo nipasẹ olupin ẹni-kẹta pẹlu SSLv2, gẹgẹbi olupin meeli," ni akọsilẹ olori ti ẹka idagbasoke. Sergei Belkin. - Ipo yii waye ti ọpọlọpọ awọn olupin ba lo ijẹrisi SSL ti o wọpọ. Ni ọran yii, o nilo lati mu atilẹyin SSLv2 kuro lori gbogbo awọn ẹrọ."
O le ṣayẹwo boya eto rẹ nilo lati ni imudojuiwọn nipa lilo pataki kan - o jẹ idagbasoke nipasẹ awọn alamọja aabo alaye ti o ṣe awari DROWN. O le ka diẹ sii nipa awọn iṣeduro ti o ni ibatan si aabo lodi si iru ikọlu ninu .
Ọkàn-àyà
Ọkan ninu awọn ailagbara julọ ninu sọfitiwia jẹ . O ti ṣe awari ni ọdun 2014 ni ile-ikawe OpenSSL. Ni akoko ikede kokoro, nọmba awọn oju opo wẹẹbu ti o ni ipalara - Eyi jẹ isunmọ 17% ti awọn orisun aabo lori nẹtiwọọki.
Ikọlu naa jẹ imuse nipasẹ module itẹsiwaju Heartbeat TLS kekere. Ilana TLS nbeere ki data wa ni gbigbe lemọlemọ. Ni ọran ti akoko idaduro gigun, isinmi kan waye ati pe asopọ gbọdọ tun-fi idi mulẹ. Lati koju iṣoro naa, awọn olupin ati awọn alabara lainidi “ariwo” ikanni naa (), Gbigbe a soso ti ipari laileto. Ti o ba tobi ju gbogbo apo-iwe lọ, lẹhinna awọn ẹya ipalara ti OpenSSL ka iranti kọja ifipamọ ti a sọtọ. Agbegbe yii le ni eyikeyi data ninu, pẹlu awọn bọtini fifi ẹnọ kọ nkan ati alaye nipa awọn asopọ miiran.
Ailagbara naa wa ni gbogbo awọn ẹya ti ile-ikawe laarin 1.0.1 ati 1.0.1f, bakanna ni nọmba awọn ọna ṣiṣe - Ubuntu to 12.04.4, CentOS ti o dagba ju 6.5, OpenBSD 5.3 ati awọn miiran. Akojọ pipe wa . Botilẹjẹpe awọn abulẹ lodi si ailagbara yii ni a ti tu silẹ ni kete lẹhin ti iṣawari rẹ, iṣoro naa wa ni pataki titi di oni. Pada ni ọdun 2017 , ni ifaragba si Heartbleed.
Bawo ni lati dabobo ara re. O ṣe pataki soke si version 1.0.1g tabi ti o ga. O tun le mu awọn ibeere Heartbeat ṣiṣẹ pẹlu ọwọ nipa lilo aṣayan DOPENSL_NO_HEARTBEATS. Lẹhin imudojuiwọn, awọn alamọja aabo alaye tun awọn iwe-ẹri SSL pada. A nilo rirọpo ni ọran ti data lori awọn bọtini fifi ẹnọ kọ nkan pari ni ọwọ awọn olosa.
Ipilẹṣẹ iwe-ẹri
Oju ipade ti a ṣakoso pẹlu ijẹrisi SSL abẹlẹ ti fi sii laarin olumulo ati olupin naa, n ṣe idaduro awọn ijabọ ni itara. Ipin yii ṣe afihan olupin ti o tọ nipa fifihan ijẹrisi to wulo, ati pe o ṣee ṣe lati ṣe ikọlu MITM kan.
Gegebi awọn ẹgbẹ lati Mozilla, Google ati nọmba awọn ile-ẹkọ giga, to 11% ti awọn asopọ to ni aabo lori nẹtiwọọki ti wa ni eti. Eyi jẹ abajade ti fifi awọn iwe-ẹri root ifura sori awọn kọnputa olumulo.
Bawo ni lati dabobo ara re. Lo awọn iṣẹ ti o gbẹkẹle . O le ṣayẹwo “didara” ti awọn iwe-ẹri nipa lilo iṣẹ naa (CT). Awọn olupese awọsanma tun le ṣe iranlọwọ pẹlu wiwa awọn ohun afetigbọ;
Ọna aabo miiran yoo jẹ tuntun ACME, eyiti o ṣe adaṣe gbigba awọn iwe-ẹri SSL. Ni akoko kanna, yoo ṣafikun awọn ọna ṣiṣe afikun lati jẹrisi oniwun aaye naa. Diẹ ẹ sii nipa rẹ .
/flickr/ / CC BY
Awọn ireti fun HTTPS
Laibikita nọmba awọn ailagbara, awọn omiran IT ati awọn amoye aabo alaye ni igboya ni ọjọ iwaju ti ilana naa. Fun imuse ti nṣiṣe lọwọ HTTPS WWW Eleda Tim Berners-Lee. Gẹgẹbi rẹ, lẹhin akoko TLS yoo di aabo diẹ sii, eyiti yoo mu aabo awọn asopọ pọ si ni pataki. Berners-Lee paapaa daba iyẹn awọn iwe-ẹri alabara fun ijẹrisi idanimọ. Wọn yoo ṣe iranlọwọ ilọsiwaju aabo olupin lati ọdọ awọn ikọlu.
O tun gbero lati ṣe agbekalẹ imọ-ẹrọ SSL/TLS nipa lilo ẹkọ ẹrọ - awọn algoridimu ọlọgbọn yoo jẹ iduro fun sisẹ ijabọ irira. Pẹlu awọn asopọ HTTPS, awọn alabojuto ko ni ọna lati wa awọn akoonu ti awọn ifiranṣẹ ti paroko, pẹlu wiwa awọn ibeere lati malware. Tẹlẹ loni, awọn nẹtiwọọki nkankikan ni agbara lati sisẹ awọn apo-iwe ti o lewu pẹlu deede 90%. ().
awari
Pupọ awọn ikọlu lori HTTPS ko ni ibatan si awọn iṣoro pẹlu ilana funrararẹ, ṣugbọn lati ṣe atilẹyin fun awọn ilana fifi ẹnọ kọ nkan ti igba atijọ. Ile-iṣẹ IT ti bẹrẹ lati kọ diẹdiẹ awọn ilana iran iṣaaju ati pese awọn irinṣẹ tuntun fun wiwa awọn ailagbara. Ni ojo iwaju, awọn irinṣẹ wọnyi yoo ni oye siwaju sii.
Awọn ọna asopọ afikun lori koko:
orisun: www.habr.com