Browsers to block access to HTTPS sites using TLS 1.0 and 1.1 starting this month

Browsers จะทำการบล็อคการเข้าถึงเว็บไซต์ HTTPS ที่ใช้ TLS 1.0 และ 1.1 เริ่มต้นในเดือนนี้
มากกว่า 850,000 เว็บไซต์ยังคงใช้โปรโตคอล TLS 1.0 และ 1.1 ที่ล้าสมัยจะไม่สามารถเข้าถึงได้จาก Browsers หลักส่วนใหญ่ในปลายเดือนนี้ Netcraft ระบุ
เว็บไซต์กว่า 850,000 นั้นใช้ HTTPS แต่ในเวอร์ชันที่ไม่ปลอดภัย เว็บไซต์เหล่านั้นใช้ HTTPS ผ่าน certificates การเข้ารหัสที่สร้างขึ้นบนโปรโตคอล TLS 1.0 และ TLS 1.1 ซึ่งเป็นโปรโตคอลที่เก่าเเก่ เปิดตัวในปี 1996 และ 2006 ตามลำดับ โปรโตคอลเหล่านี้ใช้อัลกอริธึมการเข้ารหัสที่ไม่ปลอดภัย และมีความเสี่ยงต่อการโจมตีเพื่อถอดรหัสต่างๆ เช่น BEAST, LUCKY 13, SWEET 32, CRIME และ POODLE การโจมตีเหล่านี้ช่วยให้ผู้โจมตีสามารถถอดรหัส HTTPS และเข้าถึง plaintext บน web traffic ของผู้ใช้ เวอร์ชันใหม่ของโปรโตคอลเหล่านี้เปิดตัวในปี 2008 (TLS 1.2) และ 2017 (TLS 1.3) ซึ่งทั้งสองอย่างนี้ ถือว่าดีกว่าและปลอดภัยกว่าการใช้งาน TLS 1.0 และ TLS 1.1
การถอดถอนการใช้งาน TLS 1.0 และ TLS 1.1 ถูกประกาศตั้งแต่เมื่อสองปีที่แล้ว หลังจากการเปิดตัว TLS 1.3 ในฤดูใบไม้ผลิปี 2018 ผู้ผลิตเบราว์เซอร์สี่ราย ได้แก่ Apple, Google, Mozilla และ Microsoft และประกาศร่วมกันในเดือนตุลาคม 2018 ว่ามีแผนที่จะยกเลิกการสนับสนุน TLS 1.0 และ TLS 1.1 ในต้นปี 2020 ขั้นตอนแรกของการถอดถอนการใช้งานนี้เริ่มขึ้นเมื่อปีที่แล้ว เมื่อเบราว์เซอร์เริ่มติดฉลากไซต์ที่ใช้ TLS 1.0 และ TLS 1.1 ด้วยตัวบ่งชี้ "Not Secure" ในแถบที่อยู่ URL และไอคอนแม่กุญแจ เป็นการบอกใบ้แก่ผู้ใช้ว่าการเชื่อมต่อ HTTPS นั้นไม่ปลอดภัยอย่างที่คิด ปลายเดือนนี้เบราว์เซอร์จะเปลี่ยนจากการแสดงคำเตือนที่ซ่อนอยู่ เป็นแสดง errors เต็มหน้าจอเมื่อผู้ใช้เข้าถึงเว็บไซต์ที่ใช้ TLS 1.0 หรือ TLS 1.1 การแสดง errors เต็มหน้าจอเหล่านี้ มีกำหนดการที่จะเปิดตัวในการเปิดตัว Chrome 81 และ Firefox 74 ซึ่งมีกำหนดเวลาปลายเดือนมีนาคม 2020 นี้ Safari ก็มีกำหนดถอดถอนการใช้งาน TLS 1.0 และ 1.1 ในเดือนนี้เช่นกัน Microsoft จะดำเนินการตามความเหมาะสมในช่วงปลายเดือนเมษายนด้วยการเปิดตัว (the Chromium-based) Edge 82

ที่มา : zdnet

 

OpenSSL 1.1.1 out with TLS 1.3 support

OpenSSL project ได้เปิดตัว OpenSSL 1.1.1 ซึ่งเป็นไลบรารีการเข้ารหัส ที่ได้รับความนิยมมากที่สุดที่เข้ารหัสผ่านโปรโตคอล TLS (Transport Layer Security) และ Secure Sockets Layer (SSL)

การเปิดตัว OpenSSL 1.1.1 ที่สำคัญที่สุดคือการสนับสนุนโปรโตคอล TLS 1.3 ใหม่ที่เปิดตัวออกมาเมื่อเดือนมีนาคม ส่งผลให้ลดการใช้งานอัลกอริทึมการเข้ารหัสลับที่เก่าหรือไม่ปลอดภัย และขยายการสนับสนุน Long-Term Support (LTS) สำหรับอัลกอริทึมที่ใหม่กว่า ซึ่งจะได้รับการแก้ไขข้อบกพร่องและการอัปเดตด้านความปลอดภัยสำหรับปีต่อ ๆ ไป

OpenSSL 1.1.1 จะรองรับอัลกอริทึมการเข้ารหัสลับแบบใหม่ 11 แบบ เช่น SHA3, SHA512/224, SHA512/256, EdDSA (Ed25519 และ Ed448), X448, Multi-Prime RSA, SM2, SM3, SM4, SipHash และ ARIA พร้อมทั้งมีการปรับปรุง Random Number Generator (RNG) ที่ถือว่าเป็นส่วนประกอบสำคัญสำหรับไลบรารีทั้งหมดเนื่องจากอัลกอริธึมการเข้ารหัสทั้งหมดขึ้นอยู่กับตัวเลขแบบสุ่มนี้ นอกจากนี้ยังสนับสนุนการปรับปรุงความปลอดภัยสำหรับการป้องกันการโจมตี side-channel attacks

OpenSSL เวอร์ชัน 1.0.2 จะได้รับการแก้ไขข้อบกพร่องจนถึงสิ้นปี 2018 และการแก้ปัญหาด้านความปลอดภัยจนถึงสิ้นปี 2019 OpenSSL 1.1.0 จะได้รับการแก้ไขปัญหาด้านความปลอดภัยจนถึงเดือนกันยายน 2019 อีกหนึ่งปีต่อจากนี้

ที่มา:zdnet

Why TLS 1.3 isn’t there yet

TLS 1.3 ยังไม่พร้อมเพราะอุปกรณ์ที่มาอิมพลีเมนต์ไม่รู้จักโปรโตคอล

นักวิจัยด้านความปลอดภัย Hanno Böck ได้เปิดเผยความคืบหน้าของโปรโตคอล TLS 1.3 ใน Bulletproof TLS Newsletter ฉบับล่าสุด โดยระบุว่าแม้ว่าตอนนี้รายละเอียดการทำงานโปรโตคอลจะอยู่ในจุดที่พร้อมใช้งานแล้ว แต่สาเหตุสำคัญที่โปรโตคอลยังไม่ถูกนำมาใช้งานจริงนั้นอยู่ที่อุปกรณืที่มาอิมพลีเมนต์

Hanno Böck อ้างอิงรายงานจาก Eric Rescola ใน TLS Working Group ซึ่งเปิดเผยว่า เมื่อ Google และ Firefox นำ TLS 1.3 มาทำการทดสอบนั้นพบข้อผิดพลาดในการเชื่อมต่อเป็นจำนวนมาก โดยสาเหตุของข้อผิดพลาดนั้นมาจากอุปกรณ์ที่อยู่ตรงกลางนั้นดรอปทราฟิกทิ้งเนื่องจากเมื่ออุปกรณ์พยายามวิเคราะห์ทราฟิกที่ใช้ TLS 1.3 แล้ว อุปกรณ์กลับไม่สามารถระบุประเภทของโปรโตคอลได้ชัดเจน

Hanno Böck ยังกล่าวเพิ่มเติมว่า ถ้า TLS 1.3 ถูกปรับเปลี่ยนให้มีความคล้ายกับ TLS 1.2 ในปัจจุบันมากขึ้นอาจช่วยลดปัญหาดังกล่าวได้ อย่างไรก็ตามการตัดสินใจเปลี่ยนแปลงนี้ยังไม่ได้มีประเด็นชัดเจนมากนัก ซึ่งคงต้องติดตามวิธีการในการแก้ไขปัญหาต่อไป

ที่มา: feistyduck