Kwestie szyfrowania zdecydowanie powinny siÄ™ znaleźć w obszarze zainteresowania biznesu, aby mógÅ‚ on zapewnić bezpiecznie wdrażanie i utrzymywanie witryn internetowych  przez caÅ‚y okres ich użytkowania.W ciÄ…gu ostatnich dwóch lat standardy TLS zostaÅ‚y zaktualizowane. PrzeglÄ…darki bÄ™dÄ… wkrótce blokować stare i sÅ‚abe implementacje tego protokoÅ‚u, takie jak TLS 1.0 i 1.1. Wprowadzane sÄ… kolejne podobne rozwiÄ…zania, które bÄ™dÄ… także blokować inne niezabezpieczone protokoÅ‚y bÄ™dÄ…ce ciÄ…gle w powszechnym użyciu. Firmom może być trudno szybko reagować na tak dynamiczne zmiany, a jeszcze na poczÄ…tku ubiegÅ‚ego roku specjaliÅ›ci ds. bezpieczeÅ„stwa odkryli pierwszÄ… w historii próbkÄ™ zÅ‚oÅ›liwego oprogramowania wykorzystujÄ…cÄ… nowy protokóÅ‚ szyfrowania Domain Name System, DNS-over-HTTPS (DoH).

Dotrzymywanie kroku nowym standardom

Firmy na ogóÅ‚ rozumiejÄ… korzyÅ›ci wynikajÄ…ce z aktualizacji TLS i doceniajÄ… zmiany. Potwierdza to najnowszy raport F5 Labs Telemetria TLS, który wskazuje, że prawie jedna trzecia z miliona witryn sklasyfikowanych w rankingu Alexy „Top one milion sites” akceptuje wÅ‚aÅ›nie poÅ‚Ä…czenia TLS 1.3. Ma to swoje uzasadnienie biznesowe. WiÄ™kszość popularnych przeglÄ…darek internetowych już obsÅ‚uguje nowy standard, zapewniajÄ…c tym samym wyższy poziom bezpieczeÅ„stwa i wydajnoÅ›ci użytkownikom. Jednak przyjÄ™cie najnowszego protokoÅ‚u TLS nie jest jeszcze rozwiÄ…zaniem dla wszystkich. Takim przypadkiem sÄ… firmy, które powinny rozważyć caÅ‚kowite wyÅ‚Ä…czenie wymiany kluczy RSA[1], usuwajÄ…c zestawy szyfrów, które je oferujÄ…. PrzywoÅ‚ane już badanie F5 wykazaÅ‚o, że ponad jedna trzecia najpopularniejszych witryn internetowych na Å›wiecie nadal utrzymuje RSA – algorytm kryptograficzny z kluczem publicznym – na liÅ›cie używanych algorytmów. Dzieje siÄ™ tak, mimo że specjaliÅ›ci ds. bezpieczeÅ„stwa nieustannie znajdujÄ… sposoby skutecznych ataków na RSA. Co wiÄ™cej, wÅ›ród niedoskonaÅ‚oÅ›ci w tym rozwiÄ…zaniu znajduje siÄ™ 19-letnia luka ROBOT, która ciÄ…gle jeszcze funkcjonuje jako podatność w ponad 2% najpopularniejszych witryn na Å›wiecie.  Badacze bezpieczeÅ„stwa czÄ™sto odkrywajÄ… luki w bibliotekach TLS i innych podobnych rozwiÄ…zaniach. Dlatego organizacje powinny upewnić siÄ™, że majÄ… wiedzÄ™ (alerty), czy i kiedy ich serwer internetowy, moduÅ‚ równoważenia obciążenia i kontroler dostarczania aplikacji aktualizujÄ… swoje stosy TLS. Równie istotne pozostaje szybkie Å‚atanie luk. 

Certyfikacja DNS 

Ze wzglÄ™du na to, że dowolny oÅ›rodek certyfikacji (Certificate Authority – CA) może utworzyć certyfikat dla każdej domeny w sieci, warto ograniczyć uprawnienia certyfikatów do najbardziej zaufanych urzÄ™dów, organizacji. Zapewnia siÄ™ to poprzez utworzenie rekordów DNS Certificate Authority Authorization (CAA). 

Zabezpieczony HTTPS

Ponadto, dodatkowÄ… warstwÄ™ bezpieczeÅ„stwa uzyskuje siÄ™ poprzez zastosowanie w aplikacjach internetowych nagÅ‚ówka HTTP Strict Transport Security (HSTS[2]), za sprawÄ… którego przeglÄ…darki bÄ™dÄ… próbować zaÅ‚adować witrynÄ™ tylko przez zabezpieczony protokóÅ‚ HTTPS. To ważny element zabezpieczeÅ„, który może pomóc w zapobieganiu atakom sieciowym wymuszajÄ…cym zaÅ‚adowanie niezabezpieczonych stron i umożliwiajÄ…cym hakerom podsÅ‚uchiwanie, przepisywanie i przekierowywanie ruchu sieciowego. Nawet po utworzeniu rekordów DNS CAA, trzeba też monitorować powstajÄ…ce domeny. OszuÅ›ci rzadko próbujÄ… bowiem utworzyć certyfikat dla istniejÄ…cej domeny jak np. „mybank.com”. TworzÄ… certyfikaty dla domen, których sÄ… wÅ‚aÅ›cicielami, używajÄ…c nazwy marki „mybank” jako widocznej subdomeny np. „mybank.attacker.com”. Na szczęście monitoring domen jest możliwy. Za każdym razem, gdy jakikolwiek urzÄ…d certyfikacji tworzy certyfikat, jest on rejestrowany w globalnie rozproszonej bazie danych (dziennikach Certificate Transparency - CT). Monitorowanie CT pozwala pozyskiwać informacje o tym, pod jakie domeny lub marki podszywajÄ… siÄ™ cyberprzestÄ™pcy. Wraz z globalnym upowszechnieniem HTTPS zwiÄ™ksza siÄ™ też liczba szyfrów, kluczy i certyfikatów do zarzÄ…dzania. RosnÄ…cemu tempu zmian i wdrażania sprzyja też Å‚Ä…czenie wskazanych wyżej narzÄ™dzi z powszechniejÄ…cÄ… metodologiÄ… DevOps. Konfigurowanie protokoÅ‚u HTTPS musi przebiegać podobnie jak podczas integracji narzÄ™dzi bezpieczeÅ„stwa i testów w Å‚aÅ„cuch automatyzacji (automation toolchain). Trzeba przyjrzeć siÄ™ możliwoÅ›ciom orkiestracji tworzenia certyfikatów cyfrowych i opracowania wewnÄ™trznych zasad okreÅ›lajÄ…cych standardy jak np. minimalna dÅ‚ugość klucza czy zestawy szyfrów. Automatyzacja aktualizacji certyfikatów pomoże również w zapewnieniu ciÄ…gÅ‚oÅ›ci usÅ‚ug, ponieważ certyfikaty, które majÄ… wygasnąć sÄ… automatycznie odnawiane. 

Usuwanie luk w zabezpieczeniach TLS

Niestety nawet przy poprawnym wdrożeniu TLS, ciÄ…gle możemy mieć do czynienia z innymi lukami bezpieczeÅ„stwa w obszarze prywatnoÅ›ci. Jednym ze sposobów wypeÅ‚nienia tych luk sÄ… protokoÅ‚y takie jak DNS-over-HTTPS (DoH). PoprawiajÄ… one poziom prywatnoÅ›ci użytkowników Internetu, jednak mogÄ… jednoczeÅ›nie utrudniać identyfikacjÄ™ i blokowanie zÅ‚oÅ›liwego ruchu zespoÅ‚om cyberochrony. Z tego powodu, czasem konieczne jest nawet wyÅ‚Ä…czenie protokoÅ‚ów DoH w sieciach korporacyjnych lub wdrożenie dla użytkowników wewnÄ™trznych usÅ‚ug, które wspóÅ‚pracujÄ… z internetowym serwerem proxy i pomagajÄ… odfiltrować niechciany ruch. Trzeba jednak pamiÄ™tać, że nawet najlepsze wdrożenie TLS nie może powstrzymać iniekcji zÅ‚oÅ›liwego kodu (malware) lub przejÄ™cia kodu przez obce skrypty. Ograniczenia i luki protokoÅ‚u HTTPS warto wiÄ™c dobrze rozpoznać i zrozumieć.  Jedno jest pewne: szyfrowanie nieustannie ewoluuje. RoÅ›nie dÅ‚ugość kluczy, certyfikaty stajÄ… siÄ™ zautomatyzowane, rzÄ…dy tworzÄ… regulacje i nakÅ‚adajÄ… ograniczenia, a do tego pojawiajÄ… siÄ™ nowe protokoÅ‚y. To wÅ‚aÅ›nie te ciÄ…gÅ‚e zmiany zwiÄ™kszajÄ… ryzyko dla wielu organizacji i ich klientów. SÅ‚abe wdrożenie TLS nie pozostanie niezauważone przez hakerów, organy regulacyjne, czy firmy ubezpieczeniowe oceniajÄ…ce zagrożenia cyberbezpieczeÅ„stwa.