I forrige uke kom Microsoft med et blogginnlegg hvor de ikke bare ber selskapets kunder til å legge SSL bak seg, men også oppmuntrer til å pensjonere TLS 1.0 og 1.1 (Transport Layer Security), også på operativsystemnivå. Den sistnevnte versjonen av TLS er fra 2006.
Erstatteren, TLS 1.2, er med sine ni år ikke så veldig mye nyere. Men det er denne versjonen Microsoft nå mener at kunden bør skifte over til, i alle fall inntil versjon 1.3 blir klar. Det er uklart når dette vil skje, men det jobbes med spesifikasjonsutkastet.
Det fleste nyere IT-systemer har støtte for TLS 1.2, men mange IT-systemer har ganske lang levetid, så det er ikke gitt at det vil være problemfritt å kutte støtten for de eldre utgavene av TLS. Ifølge Microsoft bør det likevel gjøres.
Les også: Chrome fikk støtte for TLS 1.3. Det var ikke problemfritt
Begrenset holdbarhet
IT-sikkerhet blir ofte fort foreldet. Dette er en av grunnene til at IT-systemer stadig må vedlikeholdes. Det finnes mange IT-systemer som ikke har blitt skikkelig vedlikeholdt på flere år, noe som gjør dem stadig mer åpne for angrep.
Med vedlikehold mener vi ikke bare installasjon av sikkerhetsoppdateringer. IT-sikkerhetslandskapet endrer seg såpass raskt at man jevnlig bør se om sikkerhetsvurderinger som man gjorde for et år eller to siden, fortsatt er gyldige.
Utdatert kryptering
Dette gjelder ikke minst i forbindelse med kryptering, hvor både etablerte chiffersamlinger og protokoller må forkastes fordi ny teknologi gjør dem langt enklere å knekke, eller fordi det blir funnet sårbarheter i dem.
Det finnes mange servere, også norske, som er eksponert mot internett, men som fortsatt bruker mer eller mindre foreldet krypteringsteknologi.
I noen av de verste tilfellene tilbyr serverne støtte for den i dag svært usikre 1990-tallsteknologien SSL (Secure Sockets Layer). Etterfølgeren, altså TLS 1.0, ble lansert allerede i 1999 og burde ha ført til at bruken av SSL ble helt utradert for mange år siden.
Også tidligere: Microsoft kaster ut gammel krypto
TLS 1.2 og Windows Server 2008
Litt overraskende i denne sammenhengen er det at ikke all programvare med TLS-støtte som Microsoft fortsatt støtter, har støtte for TLS 1.2. Et eksempel på dette er Windows Server 2008. Men nå viser det seg at Microsoft skal komme med TLS 1.2-støtte til dette aldrende serveroperativsystemet i løpet av sommeren.
For å hjelpe kundene på veien mot en infrastruktur uten støtte for de gamle krypteringsprotokollene, har Microsoft kommet med en whitepaper som er ment som utgangspunkt når man skal planlegge en migrering til et nettverksmiljø basert på TLS 1.2 eller nyere.
Microsoft foreslår en rekke trinn på veien dit, inkludert kodeanalyse for å finne hardkodede tilfeller av TLS 1.0 og 1.1, nettverksskanning for å finne operativsystemer som bruker de gamle protokollene, samt full regresjonstesting av hele applikasjonsstacken for å se hva som skjer når TLS 1.1 og eldre er deaktivert.
Det er først med Windows 8 og Windows Server 2012 at Microsofts operativsystemer benytter TLS 1.2 som standard, noe tabellen nedenfor viser.
|
Windows OS |
SSLv2 | SSLv3 | TLS 1.0 | TLS 1.1 | TLS 1.2 |
| Vista (WS2008) | Enabled | Enabled | Default | Not Supported | Not Supported |
| Windows 7 (WS2008 R2) | Enabled | Enabled | Default | Disabled | Disabled |
| Windows 8 (WS2012) | Disabled | Enabled | Enabled | Enabled | Default |
| Windows 8.1 (WS2012 R2) | Disabled | Enabled | Enabled | Enabled | Default |
| Windows 10 | Disabled | Enabled | Enabled | Enabled | Default |
| Windows Server 2016 | Not Supported | Disabled | Enabled | Enabled | Default |
| Kilde: Microsoft | |||||
Les også: Mener tiden er inne for å ta i bruk kryptoteknologien TLS 1.3
