Em agosto de 2018, a IETF aprovou o padrão TLS 1.3

O TLS 1.0 e o TLS 1.1 deixarão de existir em breve. A telemetria do Firefox já mostra que esses protocolos representam uma fração desprezível do tráfego HTTPS: 1,11% e 0,09%, respectivamente. A grande maioria dos sites agora usa o TLS 1.2. E em 2019-2020, todos os principais navegadores pretendem abandonar completamente o suporte ao TLS 1.0 e TLS 1.1. No lado do servidor, é recomendável desabilitar esses protocolos agora.

Por que desativar o TLS 1.0 e 1.1

O TLS 1.0 completará 20 anos em janeiro próximo. Ele cumpriu seu papel: ao longo dos anos, o protocolo criptografou bilhões, se não trilhões de conexões. Com o tempo, ficou melhor entender como os protocolos de criptografia deveriam ser projetados. Aumento dos requisitos para a confiabilidade das cifras. Infelizmente, o TLS 1.0 e 1.1 não atendem a esses requisitos.

Existem alguns aspectos preocupantes do TLS 1.0 e 1.1, escreve o Mozilla Security Blog. O pior é que eles não suportam trabalhar com algoritmos criptográficos modernos. Por exemplo, ao apertar as mãos, eles necessariamente exigem o uso do algoritmo de hash SHA-1. Nessas versões do TLS, não é possível instalar um algoritmo de hash mais forte para as assinaturas ServerKeyExchange ou CertificateVerify. Portanto, a única saída é atualizar para a nova versão do TLS.

Em 14 de setembro de 2018, a Internet Engineering Task Force (IETF) publicou um rascunho de documento oficial no qual não recomenda o uso do TLS 1.0 e 1.1. Entre outras coisas, menciona que um SHA-1 com uma força criptográfica de 2 ^ 77 não pode ser considerado seguro pelos padrões modernos: "2 ^ 77 operações [para ataque] estão abaixo do limite de segurança aceitável".


Fragmento de um IETF descartando TLS antigo

O documento fornece informações técnicas mais detalhadas sobre os motivos desta decisão. Ele fala sobre o ataque BEAST (Exploração do navegador contra SSL / TLS) no TLS 1.0, a saber, cifras de bloco, onde o último bloco de criptografia da mensagem anterior (n-1) é usado como vetor de inicialização da mensagem n.

O TLS 1.1 é eliminado progressivamente junto com o TLS 1.0 porque não é fundamentalmente diferente e tem essencialmente as mesmas desvantagens. Nesta versão, apenas algumas restrições do TLS 1.0 foram corrigidas, o que pode ser evitado de outras maneiras (novamente, estamos falando de um ataque BEAST).

De acordo com as recomendações do NIST, os serviços da Web foram convidados a remover o suporte para versões mais antigas do TLS até julho de 2018. Isso foi feito pela Amazon, CloudFlare, GitHub, KeyCDN, PayPal e muitos outros serviços da web.

Datas de desligamento

Os desenvolvedores de todos os principais navegadores concordaram em cumprir as recomendações da IETF.

O navegador Chrome será o primeiro a recusar o suporte para versões mais antigas do TLS. Os desenvolvedores planejam iniciar o processo com a versão do Chrome 72, que será lançada em janeiro de 2019: a partir de agora, para sites com protocolos desatualizados, um aviso será exibido no console do DevTools. Um desligamento completo ocorrerá na versão Chrome 81, com lançamento previsto para março de 2020 (versões preliminares a partir de janeiro de 2020).

A Microsoft promete desativar protocolos "no primeiro semestre de 2020". A Mozilla anunciou que desativará o TLS 1.0 e 1.1 no Firefox em março de 2020. A Apple planeja remover o suporte dos navegadores Safari em março de 2020.

Os comunicados de imprensa dos desenvolvedores de todos os principais navegadores saíram muito coordenados:

• Anúncio do desenvolvedor do Chrome
• Anúncio do Firefox
• Anúncio de borda
• Anúncio do WebKit

Perfil TLS 1.2 moderno

De acordo com a recomendação da IETF, a base criptográfica mínima para conexões HTTPS deve ser o TLS 1.2. De acordo com a telemetria do Firefox, agora é responsável por 93,12% do tráfego HTTPS ( 94% de acordo com a Qualys ), portanto, as recomendações de fato estão sendo implementadas hoje.


Usando versões TLS para todas as conexões HTTPS no Firefox Beta 62, dados de telemetria de agosto a setembro de 2018

O TLS 1.2 é um pré-requisito para HTTP / 2, que melhora o desempenho do site . A Mozilla recomenda o uso do moderno perfil TLS 1.2 no lado do servidor, se não houver necessidades especializadas. O perfil moderno fornece um alto nível de segurança e inclui os seguintes parâmetros:

• Conjuntos de cifras: ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-ECDSA-CHACHA20-POLY1305: ECDHE-RSA-CHACHA20-POLY1305: ECDHEC-E8-E12-ECDEHE -RSA-AES128-GCM-SHA256: ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384: ECDHE-ECDSA-AES128-SHA256: ECDHE-RSA-AES128-SHA256
• Curvas elípticas para TLS: prime256v1, secp384r1, secp521r1
• Tipo de certificado: ECDSA
• Curvas elípticas de certificado: prime256v1, secp384r1, secp521r1
• Assinatura do certificado: sha256WithRSAEncryption, ecdsa-com-SHA256, ecdsa-com-SHA384, ecdsa-com-SHA512
• Tamanho da chave RSA: 2048 (se não houver ECDSA)
• Tamanho do Parâmetro DH: Nenhum (completamente desativado)
• Tamanho do parâmetro ECDH: 256
• HSTS: idade máxima = 15768000
• Troca de certificado: Não

Os especialistas observam que poucas autoridades de certificação agora suportam assinaturas ECDSA; portanto, as recomendações RSA para certificados ECDSA são permitidas nas recomendações.

O protocolo de troca de chaves DHE é completamente removido do conjunto de cifras porque é mais lento que o ECDHE, e todos os clientes modernos oferecem suporte a curvas elípticas.

O algoritmo de assinatura SHA1 também é completamente removido do conjunto: SHA384 para AES256 e SHA256 para AES128 são usados.

Essa configuração é suportada nas versões Firefox 27, Chrome 30, IE 11 no Windows 7, Edge, Opera 17, Safari 9, Android 5.0 e Java 8. Se você precisar de suporte para navegadores mais antigos, os requisitos para o conjunto de criptografia precisarão ser reduzidos para o nível "médio" , é definido como o nível padrão. Somente nos casos mais extremos é recomendado que você se incline para um conjunto de cifras compatível com versões anteriores, com suporte para Windows XP / IE6.

Infelizmente, hoje em dia nem todos os fornecedores cumprem as recomendações para a configuração segura do TLS 1.2.

Em 24 de setembro de 2018, o arXiv.org publicou um estudo acadêmico sobre esse problema , realizado por pesquisadores da Concordia University em Montreal (Canadá). Os autores analisaram o comportamento de 17 versões de 13 ferramentas TLS de rede de diferentes classes (livre, código aberto, baixo e alto nível).



As conclusões são decepcionantes: quase todos os produtos em questão eram vulneráveis:

Por exemplo, verificou-se que WebTitan, UserGate e Comodo não executaram a validação TLS. Comodo e Endian, por padrão, consideram todos os certificados verificados e o Cacheguard aceita certificados TLS autoassinados.

Trend Micro, McAfee e Cacheguard usam pares de chaves pré-gerados (embora a documentação da McAfee diga o contrário). Quatro dispositivos - do UserGate, WebTitan, Microsoft e Comodo - aceitam seus próprios certificados para conteúdo entregue externamente. As chaves privadas são armazenadas no dispositivo e podem ser facilmente extraídas usando outras vulnerabilidades.

O ataque BEAST permite cookies de autenticação para usuários TLS da Microsoft, Cisco e TrendMicro, enquanto os clientes Sophos, Cacheguard, OpenSense, Comodo e Endian aceitam certificados RSA-512, para os quais as chaves privadas podem ser falsificadas facilmente por quatro horas.

O futuro do TLS 1.3

Em agosto de 2018, a IETF aprovou o padrão TLS 1.3 , descrito em detalhes em Habré . Principais inovações na nova versão:

• novo protocolo de handshake: o processo é duas vezes mais rápido devido à combinação de várias etapas, o mecanismo de handshake se tornou mais seguro, pois os desenvolvedores excluíram todos os algoritmos que não usam os modos AEAD de criptografia de bloco;
• novo processo de geração de chaves usando o HMAC Extrair e Expandir Função de Derivação de Chave (HKDF);
• Removendo conjuntos de cifras usando troca de chaves RSA ou DH, modo CBC e SHA-1.

Agora, a versão 1.3 da versão preliminar suporta o Chrome e o Firefox. De acordo com a telemetria, o navegador Firefox agora estabelece mais conexões no TLS 1.3 do que no TLS 1.0 e 1.1.

É claro que a atualização de um dos protocolos mais importantes afetará muitos sites e levará muito tempo, mas, como resultado, a Internet se tornará mais segura.

---