Foto: kt000545 op Reddit
De Amerikaanse National Security Agency heeft een veiligheidswaarschuwing afgegeven [PDF] Deze maand drong er bij systeembeheerders bij federale agentschappen en daarbuiten op aan om te stoppen met het gebruik van verouderde en verouderde TLS-protocollen.
“De NSA raadt aan om alleen TLS 1.2 of TLS 1.3 te gebruiken; geen SSL 2.0, SSL 3.0, TLS 1.0 en TLS 1.1”, aldus het bureau.
Het bureau voegde eraan toe dat “het gebruik van verouderde codering een vals gevoel van veiligheid geeft, omdat het lijkt alsof gevoelige gegevens worden beschermd, hoewel dit niet echt het geval is.”
Ook: Beste VPN’s • De beste veiligheidssleutels • De beste antivirus
Zelfs als TLS 1.2 en TLS 1.3 worden geïmplementeerd, waarschuwt de NSA dat deze twee protocollen zijn geconfigureerd met zwakke versleutelingsparameters en versleutelingssuites.
“Bijzonder zwakke versleutelingsalgoritmen in TLS 1.2 worden geclassificeerd als NULL, RC2, RC4, DES, IDEA en TDES / 3DES; versleutelingssuites die deze algoritmen gebruiken, mogen niet worden gebruikt”, voegde het bureau toe.
“TLS 1.3 verwijdert deze coderingssuites, maar toepassingen die zowel TLS 1.3 als TLS 1.2 ondersteunen, moeten worden gecontroleerd op verouderde coderingssuites.”
Uitgegeven door de US Cybersecurity Agency Lijst met tools In zijn GitHub-profiel om systeembeheerders te helpen bij het identificeren van systemen op hun interne netwerken die nog steeds gebruikmaken van verouderde TLS-configuraties.
Soortgelijke berichten uit Nederland
Het NSA-rapport, gepubliceerd op 5 januari, weergalmde gisteren zijn tegenhanger in Nederland, het Nationaal Centrum voor Cybersecurity.
Bij Soortgelijke waarschuwing [PDF]Het Nederlandse NCSC heeft ook aanbevolen dat Nederlandse overheidsinstanties en particuliere bedrijven overgaan op TLS 1.3 als onderdeel van de ‘Proof of the Future’-trainingsaanpak.
De twee waarschuwingen komen nadat, halverwege 2020, grote webbrowsers de ondersteuning van TLS 1.0 en TLS 1.1 stopzetten, om veiligheidsredenen. In maart 2020 meldde beveiligingsbedrijf Netcraft dat ongeveer 850.000 sites nog steeds TLS 1.0 en TLS 1.1 gebruikten om HTTPS-verkeer te versleutelen, een aantal dat sindsdien langzaam is afgenomen.
In haar advies waarschuwt de NSA dat er altijd nieuwe aanvallen op TLS-protocollen worden ontdekt en dat organisaties de nieuwste versies van het TLS-protocol moeten gebruiken “om altijd op de hoogte te blijven van kwaadaardige mogelijkheden en kritieke informatie te beschermen.
“Reisliefhebber. Onruststoker. Popcultuurfanaat. Kan niet typen met bokshandschoenen aan.”