Stručná história SSL a TLS

SSL verzus TLS - aké sú rozdiely a čo by sa malo brať do úvahy?
Protokol SSL bol pôvodne vyvinutý spoločnosťou Netscape a začal v roku 1995 protokolom SSL 2.0

Windows Server

Autor: GMO GlobalSign

Internetová bezpečnosť príležitostne číta ako polievka z listov - SSL, TLS, ECC, SHA - zoznam neustále pokračuje. Všetky tieto skratky môžu spôsobiť zmätok pri hľadaní toho, čo skutočne potrebujete. Možno jedna z najbežnejších otázok: Aký je rozdiel medzi SSL (Secure Socket Layer) a TLS (Transport Layer Security)? Vedia, že chcete zabezpečiť svoj web (alebo inú formu komunikácie). Potrebujete však na to SSL? TLS? Oboje?

SSL a TLS sú oba šifrovacie protokoly, ktoré poskytujú autentifikáciu a šifrovanie údajov medzi servermi, počítačmi a aplikáciami pracujúcimi v sieti (napr. Klient, ktorý sa pripája k webovému serveru). SSL je predchodcom TLS. V priebehu rokov boli vydané nové verzie protokolov na riešenie bezpečnostných chýb a na podporu silnejších a bezpečnejších šifrovacích balíkov a algoritmov.

Protokol SSL pôvodne vyvinul program Netscape a začal v roku 1995 protokolom SSL 2.0 (verzia 1.0 nikdy nebola zverejnená). Verzia 2.0 bola rýchlo nahradená protokolom SSL 3.0 v roku 1996, keď sa našlo množstvo bezpečnostných chýb. Poznámka: Verzie 2.0 a 3.0 sú niekedy napísané ako SSLv2 a SSLv3.

TLS bol predstavený v roku 1999 ako nová verzia SSL a bol založený na SSL 3.0:

Rozdiely medzi týmto protokolom a protokolom SSL 3.0 nie sú výrazné, ale sú dostatočne veľké na to, aby protokoly TLS 1.0 a SSL 3.0 nepracovali spoločne. „TLS je momentálne vo verzii 1.2 a TLS vo verzii 1.3 je momentálne vo fáze návrhu.

Použite SSL alebo TLS?
SSL 2.0 aj 3.0 odmietla IETF (2011, respektíve 2015). V priebehu rokov sa bezpečnostné medzery objavovali a naďalej objavujú v už vyradených protokoloch SSL (napr. POODLE, DROWN). Väčšina moderných prehľadávačov označuje webové servery pre používateľa starými protokolmi, napríklad preškrtnutým bezpečnostným zámkom alebo https v riadku adresy URL alebo inými bezpečnostnými upozorneniami. Z týchto dôvodov by ste mali v konfigurácii servera zakázať protokoly SSL 2.0 a 3.0 a ponechať povolené iba protokoly TLS.

Certifikáty nie sú to isté ako protokoly
Skôr ako sa niekto začne obávať, že bude musieť nahradiť svoje existujúce certifikáty SSL certifikátmi TLS, je dôležité si uvedomiť, že certifikáty sa nespoliehajú na protokoly. To znamená, že namiesto certifikátu SSL nemusíte používať certifikát TLS. Aj keď mnoho predajcov zvykne používať výraz „certifikát SSL/TLS“, je trochu presnejšie odkazovať na „certifikáty na použitie s SSL a TLS“. Protokoly, a nie samotné certifikáty, sú určené konkrétnou konfiguráciou servera.

Pravdepodobne sa vám budú naďalej zobrazovať certifikáty, ktoré sa označujú ako certifikáty SSL, pretože to je výraz, ktorý viac ľudí momentálne pozná. Pojem TLS sa však v priemysle stáva čoraz bežnejším. SSL/TLS je aktuálny kompromis.

Zakázanie protokolu SSL 2.0 a 3.0
Ak si nie ste istí, či vaše servery stále podporujú protokoly SSL, môžete to ľahko skontrolovať pomocou testeru, ako je tento Test servera SSL. Zistenia testu servera GlobalSign označujú všetky protokoly, ktoré sú povolené, ale nemali by byť.

Pokyny na deaktiváciu protokolu SSL 2.0 a 3.0 na bežných typoch serverov, ako sú Apache, NGINX a Tomcat, nájdete v našom špecializovanom článku podpory.

Aký je teda rozdiel medzi SSL a TLS? Úprimne povedané, nie zvlášť veľký. Pokiaľ ide o konfiguráciu vášho servera, rozdiel je v zraniteľnostiach, zastaraných šifrovacích balíkoch a bezpečnostných upozorneniach prehľadávača. Pokiaľ ide o vaše servery, mali by ste mať povolené iba protokoly TLS. (GMO GlobalSign: ra)

zaregistrovaný: 17.07.16
Spustenie domáceho a bulletinu: 23.08.16

GMO GlobalSign: kontakt a profil

Poskytovateľ informácií má jeho kontakt bohužiaľ ešte nie je aktivovaný.

Správy: Tipy a rady

Zvyšujúce sa požiadavky na zhodu a európske smernice, ako napríklad GDPR alebo smernica NIS pre kritické infraštruktúry, už výrazne tlačili na implementáciu opatrení kybernetickej bezpečnosti vo firmách. Spoločnosti však často spĺňajú iba minimálne požiadavky - zatiaľ čo útočníci majú rozsiahle a prepracované možnosti získania prístupu do firemných sietí. Hackeri sa zameriavajú na stredné spoločnosti, napríklad vo výrobnom priemysle alebo v zdravotníctve: Pomocou útokov ransomware môžu kybernetickí aktéri paralyzovať celé výrobné linky alebo vyradiť nemocnice zo siete. Najmä v týchto priemyselných odvetviach sú škody po útoku obzvlášť veľké, pretože majú obrovské ekonomické účinky a pôsobia na veľké množstvo ľudí. Pre hackerov sú zaujímavé najmä stredne veľké spoločnosti, ktoré sú ekonomicky úspešné, ale zároveň nemajú také komplexné bezpečnostné opatrenia ako veľké kótované spoločnosti.

Kybernetickí zločinci čoraz viac napádajú falošné faktúry a stále viac napádajú výrobné spoločnosti v Nemecku. To zistil Proofpoint. Útočníci posielajú falošné faktúry, ktoré sa používajú ako návnada, alebo e-mail obsahuje odkaz na webovú stránku, kde je k dispozícii na stiahnutie sfalšovaný dokument. Dokumenty sú infikované trójskym koňom NanoCore so vzdialeným prístupom. Podľa Proofpoint obsahujú prílohy komprimovaný spustiteľný súbor (s príponou „.Z“), zatiaľ čo škodlivé odkazy pobádajú príjemcu k stiahnutiu škodlivého softvéru hosteného na onedrive.live.com.

Guardicore vydáva bezpečnostné odporúčania pre koniec podpory pre Windows Server R2, Windows Server 2008 a Windows 7. Od 14. januára 2020 už používatelia týchto operačných systémov Microsoft nebudú dostávať bezplatné bezpečnostné aktualizácie a online aktualizácie. Bez aktualizácií dôležitých pre bezpečnosť už príslušné systémy IT nie sú chránené proti novoobjaveným slabým miestam. Niektoré zo spomínaných operačných systémov sú už viac ako desať rokov staré, odhaduje sa však, že samotný Windows Server 2008/2008 R2 je stále v prevádzke takmer na každom treťom serveri na svete. Mnoho organizácií nemôže upgradovať na najnovšie verzie operačného systému, pretože sa na ne vzťahujú zložité právne a certifikačné požiadavky alebo jednoducho nemajú potrebný rozpočet. Preto sú potrebné preklenovacie riešenia - tiež preto, aby bolo možné sprevádzať časovo náročné migračné procesy.

E-mail je komunikačný prostriedok číslo jeden. Spoločnosti majú povinnosť zaoberať sa bezpečnosťou e-mailov, keď komunikujú interne aj externe. Porušenie údajov a krádež dát je možné počuť takmer každý deň: cudzinci získajú prístup do vnútropodnikového systému spoločnosti - v niektorých prípadoch bohužiaľ veľmi ľahko - a pristupujú k údajom alebo s nimi manipulujú. Jednoduché, nezašifrované e-maily preto predstavujú základné riziko: Podobajú sa pohľadnici, ktorej obsah si môže prečítať ktokoľvek. „Pretože ak e-mailové adresy nie sú digitálne podpísané ani šifrované, je možné nielen sledovať obsah, ale aj manipulovať s ním. Pretože útoky tohto typu zvyčajne nie sú viditeľné ani zistiteľné, bezpečnosť e-mailov je bohužiaľ znížená. Ako často, často zanedbávané. Ako často a kto číta e-maily, nikto nevidí, “varuje Patrycja Tulinska, výkonná riaditeľka skupiny PSW.

Navštívte SaaS-Magazin.de

SaaS, na požiadanie, ASP, cloudové výpočty, outsourcing >>>

Newsletter zadarmo

Informované každý pracovný deň s IT SecCity.de, Compliance-Magazin.de a SaaS-Magazin.de. Prístup k trom online časopisom s jedným spravodajcom. Objednávajte tu

Technický článok

Neefektívne reakcie na e-mailové útoky stoja podniky každý rok miliardy dolárov. Pre mnoho podnikateľov je hľadanie, identifikácia a odstránenie e-mailových hrozieb pomalý, manuálny a náročné na zdroje. Výsledkom je, že útoky majú často čas sa rozšíriť po celej organizácii a spôsobiť ďalšie škody. Podľa spoločnosti Verizon trvá väčšine phishingových kampaní iba 16 minút, kým niekto klikne na škodlivý odkaz. Pri manuálnej reakcii na incident však spoločnostiam trvá odpoveď tri a pol hodiny. V mnohých prípadoch sa v tomto okamihu už útok rozšíril, čo si vyžaduje ďalšie vyšetrovanie a protiopatrenia.

Po stovky rokov bol pôvodný podpis niečo ako de facto štandard pre legálne podpisovanie najrôznejších zmluvných dokumentov a dohôd všetkého druhu. Pred viac ako desiatimi rokmi sa čoraz viac obchodných aktivít a s nimi súvisiacich procesov premiestňovalo na internet. Možno to chvíľu trvalo, ale s vekom digitálnej transformácie začínajú vlastnoručné podpisy na papierových dokumentoch miznúť a digitálne podpisy sú čoraz viac akceptované na celom svete.

Bez ohľadu na to, či ide o začínajúci podnik alebo spoločnosť: Nástroje na spoluprácu sú tiež mimoriadne populárne v nemeckých spoločnostiach. Ľahko sa integrujú do jednotlivých pracovných tokov a dajú sa použiť na rôznych koncových zariadeniach. Slack je v súčasnosti jedným z najbežnejšie používaných nástrojov na spoluprácu na celom svete. Cloudová aplikácia však predstavuje výzvu pre zabezpečenie údajov, ktorú je možné spoľahlivo zvládnuť iba pomocou špeciálnych riešení zabezpečenia v cloude. Slack sa za pár rokov rozrástol z relatívne neznámej cloudovej aplikácie na jedno z najpopulárnejších riešení tímovej spolupráce na svete. Ich triumf vo väčšine spoločností často začína tieňovou aplikáciou, ktorú spočiatku používajú iba jednotlivé interné pracovné skupiny spoločnosti. Od tejto chvíle sa zvyčajne rýchlo stane najpopulárnejším nástrojom pre spoluprácu v celej organizácii.

V poslednej dobe sa automatické phishingové útoky náhle výrazne zvýšili. Vďaka umelej inteligencii (AI), strojovému učeniu a veľkým dátam je obsah oveľa presvedčivejší a metodika útoku je mimoriadne presná. Tieto útoky nemajú veľa spoločného s tradičnými phishingovými útokmi. Zatiaľ čo manažéri IT používajú AI na zvýšenie bezpečnosti na vyššiu úroveň, možno si s istotou položiť otázku, čo sa stane, ak sa táto technológia dostane do zlých rúk, zločinci? Pokrok v oblasti internetu a pokrok v oblasti výpočtovej techniky nám umožnili nájsť presné riešenia aj pri zložitých problémoch. Od astrofyziky cez biologické systémy až po automatizáciu a presnosť. Všetky tieto systémy sú však vo svojej podstate zraniteľné voči kybernetickým hrozbám. Najmä v našom rýchlo sa rozvíjajúcom svete, kde inovácie prichádzajú a odchádzajú, sa musí naďalej zameriavať na kybernetickú bezpečnosť. Najmä pokiaľ ide o záplavu dát generovaných internetom vecí (IoT). Identifikácia škodlivého softvéru sa veľmi spoliehala na rozpoznávanie určitých podpisov súborov. Alebo systémy založené na pravidlách, ktoré odhaľujú anomálie sietí.