Säkerhetsblogg

Tiden är (nästan) ute för SSL/tidig-TLS

Den 30 juni närmar sig!

Efter det kommer SSL v3 och tidigare versioner av TLS (t.ex. 1.0 eller 1.1) vara utdaterade, och endast TLS 1.2 kommer att godkännas enligt PCI-DSS kraven 2.2.3, 2.3 och 4.1.

Många företag och tjänsteleverantörer har webbservrar som fortfarande använder sig av en sårbar version av SSL eller TLS och planen för hur man ska migrera till TLS 1.2 är för vissa fortfarande oklar.

Med tanke på det potentiellt stora antalet attacker som kan kopplas till SSL/early-TLS, som BEAST, POODLE och Birthday attack, hur lätta de är att genomföra och hur mycket de kan förstöra, så uppstår det självklart frågor:

  • Är det verkligen rimligt att riskera så mycket genom att tillåta en gammal android- (v4.0.4 och tidigare) eller internet explorer- (v9 eller tidigare) eller Mozilla/Chrome/Safari/Browser-användare tillgång till tjänsten?
  • Är det endast på grund av PCI DSS som SSL/early-TLS inte längre kommer att godkännas? Är det compliance som ska driva säkerhet?

Självklart är svaret på den sista frågan ett stort ’’NEJ’’ men varför är det fortfarande så svårt att få folk att förstå att säkerhet faktiskt är någonting viktigt och inte en börda?

Svaret ligger förmodligen i otillräcklig kunskap bland slutanvändare, kunder och företagsledningar, speciellt när det gäller att förstå konsekvenserna när det-som-inte-får-hända faktiskt händer.

Om du vill läsa mer om Transport Layer Security (TLS), tidigare känt som Secure Socket Layer (SSL), så kan jag rekommendera dessa länkar:

https://en.wikipedia.org/wiki/Transport_Layer_Security

https://tools.ietf.org/html/rfc5246

https://tools.ietf.org/html/rfc6176

  • 24 Solutions AB
  • Smedjegatan 2C
  • SE-13154 Nacka, Sweden
  • +46 (0)8 535 24 100
  • info@24solutions.com