NSA faz recomendações sobre a troca e a correta implementação dos protocolos TLS
5 de fevereiro de 2021A Agência de Segurança Nacional dos Estados Unidos emitiu um comunicado de segurança [PDF] neste mês instando os administradores de sistema em agências federais e além a pararem de usar protocolos TLS antigos e obsoletos.
“A NSA recomenda que apenas TLS 1.2 ou TLS 1.3 sejam usados; e que SSL 2.0, SSL 3.0, TLS 1.0 e TLS 1.1 não sejam usados”, disse a agência.
“Usar criptografia obsoleta fornece uma falsa sensação de segurança porque parece que dados confidenciais estão protegidos, embora na verdade não estejam”, acrescentou a agência.
Mesmo se o TLS 1.2 e o TLS 1.3 forem implantados, a NSA alerta contra a configuração desses dois protocolos com parâmetros criptográficos e conjuntos de criptografia fracos.
“Os padrões e a maioria dos produtos podem ter sido atualizados, mas as implementações muitas vezes não acompanharam”, disse a NSA em sua orientação esta semana . “As conexões de rede que empregam protocolos obsoletos correm um risco elevado de exploração por adversários. Como resultado, todos os sistemas devem evitar o uso de configurações obsoletas para os protocolos TLS e SSL. ”
“Dispositivos de monitoramento de rede podem ser configurados para alertar analistas sobre servidores e / ou clientes que negociam TLS obsoleto ou podem ser usados para bloquear tráfego TLS fraco”, de acordo com a NSA. “A escolha de alertar e / ou bloquear vai depender da organização.
Para minimizar o impacto da missão, as organizações devem usar uma abordagem em fases para detectar e consertar clientes e servidores até que um número aceitável seja corrigido antes de implementar regras de bloqueio. ”
“Algoritmos de criptografia especialmente fracos no TLS 1.2 são designados como NULL, RC2, RC4, DES, IDEA e TDES / 3DES; conjuntos de criptografia que usam esses algoritmos não devem ser usados”, acrescentou a agência.
“O TLS 1.3 remove esses conjuntos de criptografia, mas as implementações que oferecem suporte a TLS 1.3 e TLS 1.2 devem ser verificadas quanto a conjuntos de criptografia obsoletos.”
A agência de segurança cibernética dos Estados Unidos publicou uma lista de ferramentas em seu perfil GitHub para ajudar os administradores de sistema com a tarefa de identificar sistemas em suas redes internas que ainda usam configurações de protocolo TLS obsoletas.
- Gartner prevê que gastos mundiais de usuários finais com Nuvem Pública irão ultrapassar US$ 675 bilhões em 2024
- Bombardeio MFA: Nova Técnica de Phishing Mirando Usuários de Dispositivos Apple
- Everymind e Salesforce abrem inscrições para evento de RGM para mercado de varejo e consumo
- CoopsParty 2024 é oportunidade para desmitificar a inovação e aproximar jovens do cooperativismo
Acesse aqui e saiba tudo sobre TLS, o protocolo de segurança que garante o sigilo das informações e identifica empresas, dispositivos e objetos no mundo eletrônico.
- GMO GlobalSign lança o Gerenciador de Automação de Certificados
- Telefónica, IDEMIA Secure Transactions e Quside Lançam Conectividade Quantum-Safe para Dispositivos IoT com Uso de TLS
- GlobalSign se posiciona sobre Serasa descontinuar unidade de SSL
- Por que meu SSL deve expirar a cada 3 meses? Por Nick França, CTO de SSL na Sectigo