Microsoft, ağlar ve internet üzerinden gönderilen bilgileri korumak için kullanılan her yerde kullanılan iletişim şifrelemesi olan Aktarım Katmanı Güvenliği (TLS) protokolünün eski sürümlerini devre dışı bırakmayı planlıyor. Sırasında işletmeler ve kullanıcılar, kritik bir uygulamayı kullanmaya devam etmek için geriye dönük uyumluluğa ihtiyaç duymaları halinde protokolleri yeniden etkinleştirebilecekMicrosoft, son kılavuzunda şirketlerin sistemlerini TLS v1.2 veya 1.3’e geçirmeleri gerektiğini belirtti.
Bu aydan itibaren şirket, Windows 11 Insider Preview’da TLS v1.0 ve v1.1’i varsayılan olarak devre dışı bırakacak ve ardından gelecekteki Windows sürümlerinde geniş kapsamlı bir devre dışı bırakma işlemi gerçekleştirecek.
Microsoft, başka bir danışma belgesinde “Geçtiğimiz birkaç yılda internet standartları ve düzenleyici kurumlar, çeşitli güvenlik sorunları nedeniyle TLS 1.0 ve 1.1 sürümlerini kullanımdan kaldırdı veya bunlara izin vermedi” dedi. “TLS protokolü kullanımını birkaç yıldır izliyoruz ve TLS 1.0 ile TLS 1.1 kullanım verilerinin harekete geçebilecek kadar düşük olduğuna inanıyoruz.”
Planlanan geçiş, Google ve Chromium Projesi’nin, TLS sertifikalarının mevcut maksimum geçerli süre olan 398 günlük sürenin dörtte birinden daha az, maksimum 90 günlük bir ömre sahip olması gerektiğini önermesinden altı ay sonra gerçekleşti.
Aktarım Katmanı Güvenliği (TLS) protokolü ve onun öncülü olan Güvenli Yuva Katmanı (SSL), İnternette aktarılan verileri korumanın standart yolu haline geldi. Ancak SSL ve TLS’nin önceki sürümlerindeki zayıflıklar, Mozilla Vakfı gibi teknoloji şirketlerini ve kuruluşlarını daha güvenli TLS sürümlerinin benimsenmesi için baskı yapmaya yöneltti. Chromium Project’in Mart ayındaki sertifika ömrünü kısaltma önerisinde, TLS sertifikalarının geçerlilik süresinin daha hızlı sona ermesi yönündeki baskının aynı zamanda şirketleri sertifika altyapılarını otomatikleştirmeye sevk ederek daha iyi güvenlik çevikliğine yol açacağı belirtildi.
Grup, “Sertifika ömrünün kısaltılması, otomasyonu ve ekosistemi barok, zaman alıcı ve hataya açık düzenleme süreçlerinden uzaklaştıracak uygulamaların benimsenmesini teşvik eder” dedi. “Bu değişiklikler, yeni ortaya çıkan güvenlik yeteneklerinin ve en iyi uygulamaların daha hızlı benimsenmesine olanak tanıyacak ve ekosistemin kuantum dirençli algoritmalara hızlı bir şekilde geçişi için gereken çevikliği teşvik edecek.”
TLS 1.3’e Geçiş Zamanı
Şirketler öncelikle TLS uç noktalarının ve sertifika koleksiyonlarının envanterini çıkarmalı ve diğer teknik bileşenleri tanımlamalıdır. AppViewX’in baş çözüm sorumlusu Muralidharan Palanisamy, sertifikaların kullanım ömrünün kısalması nedeniyle anahtarların ve sertifikaların otomatik yönetiminin gerekli olduğunu söylüyor.
“Otomatik bir çözüm, kripto varlıklarınıza ilişkin görünürlük sağlamak ve süresi dolmuş ve zayıf sertifikaları bulmak için güncel bir envanter tutmak için hibrit çoklu bulut ortamlarınızı sürekli olarak tarayabilir” diyor. “Tam sertifika yaşam döngüsü yönetimi otomasyonu, sertifikaların yeniden sağlanmasına, otomatik olarak yenilenmesine ve iptal edilmesine olanak tanır.”
TLS 1.3’e geçiş halihazırda devam ediyor. İnternet taramalarına dayanan AppViewX raporuna göre her beş sunucudan birinden fazlası (%21) TLS 1.3 kullanıyor. Palanisamy, yeni teknolojinin, sıfır gidiş-dönüş süresi anahtar değişimi ve TLS 1.2’den daha güçlü güvenlik ile mükemmel ileri gizlilik (PFS) sunarak büyük performans avantajlarına sahip olduğunu söylüyor.
Birçok kuruluş TLS 1.2’yi dahili olarak, TLS 1.3’ü ise harici olarak kullanır.
Bu kadar yaygın şifrelemeye geçişin dezavantajları da yok değil. Forrester Research’ün baş analisti David Holmes, güvenliğin sürdürülmesine ilişkin bir raporda, kuruluşların, TLS 1.3 ve HTTPS üzerinden DNS’nin geniş çapta benimsenmesi nedeniyle ağ trafiğinin gelecekte artık denetlenemeyeceğini beklemesi gerektiğini belirtti. şifrelenmiş bir gelecekte görünürlük.
Holmes, “Bu değişiklikler hız kazandıkça, güvenlik izleme araçları trafiğin içeriğine ve hedefine karşı körleşecek ve tehditleri tespit edemeyecektir” diye yazdı. “Ağ her zamankinden daha karanlık olacak. Hem güvenlik uygulayıcıları hem de satıcı toplulukları aktif olarak ağa görünürlüğü geri getirebilecek çözümler üretiyor.”
KANIŞ, Heartbleed ve Diğer Nadir Irklar
Genel olarak TLS güvenlik açıkları oldukça ezoterik bir tehdit; Holmes’a göre pek çok teorik zayıflık var ancak doğada çok az saldırı görülüyor. Saldırganlar nadiren TLS sorunlarını hedef alır çünkü şifreleme altyapısına saldırmak genellikle son derece karmaşıktır ve çok fazla karmaşıklık gerektirir.
Ancak bir güvenlik açığı bulunduğunda, TLS şifreleme altyapısı her yerde mevcut olduğundan sonuçları yaygın olabilir. 2014 yılında, OpenSSL kütüphanesindeki kötü şöhretli Heartbleed güvenlik açığının keşfedilmesi, saldırganların sunuculardan hassas verileri çalmak amacıyla bu sorundan yararlanabilmesi için büyük sunuculara yama yapma yarışına yol açtı. Aynı yıl, Secure Sockets Layer (SSL) v3.0’da bir güvenlik açığının keşfedilmesi, ortadaki makine saldırısına olanak tanıdı; bunun en iyi bilinen örneği, Düşürmede Padding Oracle olarak adlandırılan kavram kanıtlama kodudur. Eski Şifreleme (POODLE) saldırısı.
Holmes, “POODLE saldırısı, TLS 1.0’ın öncüsü olan SSLv3’teki kritik bir güvenlik açığıydı ve bunun keşfi, internetin bu protokolü neredeyse bir gecede, birkaç ay içinde, ki bu şaşırtıcı derecede hızlı bir şekilde devre dışı bırakmasına neden oldu” diyor.
TLS tehditleri ciddi olsa da, genellikle bir uygulamanın veya sunucunun güncel olmadığının bir işaretidir; bu da genellikle önemli sayıda, istismar edilmesi daha kolay güvenlik açıklarının mevcut olduğu anlamına gelir; dolayısıyla saldırganlar genellikle dikkatlerini buralara çevirir.
TLS 1.0 ve 1.1 desteklenmeye devam ediyor çünkü yama uygulanması imkansız olmasa da zor olan görev açısından kritik uygulamaların iletişim protokolüne bağlı olması.
“Bunların birçoğunun yükseltilmesi mümkün değil; yoksa zaten yükseltilmiş olurdu” diyor. “Yalnızca bir avuç fabrikada çalışan belirli bir cihaz için onlarca yıl önce yazılmış özel uygulamaları düşünün. Bu uygulamaları oluşturan yazılım ekipleri uzun zaman önce dağıldı veya kullanımdan kaldırıldı ancak uygulama hala çalışıyor.”