Microsoft chce svojich firemných zákazníkov donútiť k prechodu na najnovšiu verziu TLS protokolu (Transport Layer Security).
Do Windows Server 2008 pridá na konci tohto leta podporu TLS 1.2. Dôvodom je nevyhnutnosť vylepšenia zabezpečenia, ktoré často stagnuje na dvoch dekádach starom protokole TLS 1.0, ktorého bezpečnosť nepostačuje. S ukončením podpory na Windows platforme pomôže návod priamo od výrobcu.
Podpora TLS 1.0 bude ukončená čo najskôr
Microsoft deklaruje, že jeho zákazníci by mali čo najskôr prejsť z TLS 1.0 na TLS 1.2. Bude ich k tomu nielen vyzývať, ale najmä nútiť obmedzením podpory TLS 1.0 a TLS 1.1 v súčasných produktoch. Súčasná verzia TLS 1.2 pochádza z roku 2008 a TLS 1.3 sa ešte len blíži k svojmu rozšíreniu v softvérových produktoch.
Podporu starého SSLv3 sa po bezpečnostných incidentoch podarilo vykoreniť, ale väčšina (nielen firemných) systémov stále podporuje a používa staré protokoly, ktoré sú zraniteľné. Napríklad TLS 1.0 ohrozuje zraniteľnosť POODLE.
Zámer Microsoftu komplikuje absencia podpory TLS 1.2 v starších produktoch. Postihnuté sú konkrétne systémy Windows Vista, Windows 7 a Windows Server 2008. Vista a WS 2008 nepodporujú TLS 1.2 vôbec; jeho podpora je až vo Windows 7 a WS 2008 R2 (kde však nie je zapnutá).
Podpora SSL a TLS vo Windows a Windows Servera
Z prehľadu verzií SSL/TLS vyššie je zrejmé, že pomoc TLS 1.2 musí byť do Windows Server 2008 doplnená. Vo Windows Server 2012 a novších je podpora TLS 1.2 v predvolenom stave zapnutá.
Windows Server 2008 dostane podporu TLS 1.2 tento rok
Z predchádzajúceho odseku je zrejmý hlavný problém, ktorým je absencia podpory TLS 1.2 vo Windows Server 2008. Dnes už je starší Windows Server 2008 podporovaný iba v rámci rozšírenej podpory, ktorá sa skončí v roku 2020; napriek tomu je stále používaný. Rozšírená podpora znamená, že do jej konca Microsoft zaistí opravy chýb a zraniteľností, avšak nebude rozvíjať funkcie produktu.
Aj napriek tomu dostane Windows Server 2008 v rámci aktualizácie update umožňujúci využitie TLS 1.2. Jeho používatelia budú môcť využiť v tejto chvíli najmodernejší TLS protokol namiesto starého TLS 1.0. Administrátori serverov by však mali zvážiť upgrade na Windows Server 2012 alebo Windows Server 2016, ktorý im pomôže v IIS lepšie využiť SSL certifikáty s výrazne menším úsilím. Najväčším rozdielom je podpora SNI a koniec nevyhnutnosti používať IP adresu pre každý samostatný SSL certifikát.
S prechodom pomôže sám Microsoft
Microsoft si je vedomý, že ukončenie podpory protokolu, ktorý je natoľko rozšírený, je zložité. Administrátorom sa snaží pomôcť dokumentom Solving the TLS 1.0 Problém, ktorý má uľahčiť prechod z TLS 1.0.
Autor: Ing. Peter Tomaščík – špecialista na bezpečnostné SSL certifikáty, www.sslmarket.sk
Tento článok vyšiel aj v tlačenom septembrovom vydaní TOUCHIT č. 9/2017, preto sa niektoré skutočnosti uvedené v článku, môžu odlišovať oproti aktuálnemu dátumu publikovania.
