АНБ рекомендовало больше не использовать SSL 2.0, SSL 3.0, TLS 1.0 и TLS 1.1 и перейти на TLS 1.2 или TLS 1.3.

Агентство национальной безопасности США выпустило уведомление безопасности, в котором рекомендовало системным администраторам в федеральных агентствах и за их пределами отказаться от использования устаревших версий протокола TLS. Говоря точнее, АНБ рекомендовало больше не использовать SSL 2.0, SSL 3.0, TLS 1.0 и TLS 1.1 и перейти на TLS 1.2 или TLS 1.3.

«Использование устаревшего шифрования дает ложное чувство безопасности, поскольку кажется, будто чувствительные данные защищены, хотя на самом деле это не так», — говорится в уведомлении.

АНБ также предупредило об опасности использования TLS 1.2 и TLS 1.3 с ненадежными параметрами шифрования и наборами шифров. Особенно слабые алгоритмы шифрования в TLS 1.2 обозначаются как NULL, RC2, RC4, DES, IDEA и TDES/3DES, поэтому нельзя использовать наборы шифров, использующие эти алгоритмы. В TLS 1.3 эти наборы шифров уже отсутствуют, но поддерживающие TLS 1.2 и TLS 1.3 реализации должны проверяться на их наличие.

АНБ опубликовало в своем профиле на GitHub список инструментов, с помощью которых системные администраторы могут идентифицировать в своих внутренних сетях системы, все еще использующие устаревшие конфигурации TLS.

Вслед за АНБ похожее уведомление безопасности выпустил Национальный центр кибербезопасности Нидерландов. Он также рекомендовал правительственным и частным организациям перейти на TLS 1.3.

В середине прошлого года самые популярные браузеры отказались от поддержки TLS 1.0 и TLS 1.1 из соображений безопасности. По данным ИБ-компании Netcraft, в марте 2020 года порядка 850 тыс. сайтов все еще использовали TLS 1.0 и TLS 1.1 для шифрования своего HTTPS-трафика.

Источник: securitylab