SIKKERHET

Microsoft ber kundene skru av TLS 1.0/1.1

Mener det er på tide å kvitte seg med gamle krypteringsteknologier.

Microsoft mener det er på tide at Windows-kundene skrur av operativsystemstøtten for eldre utgaver av krypteringsteknologien TLS.
Microsoft mener det er på tide at Windows-kundene skrur av operativsystemstøtten for eldre utgaver av krypteringsteknologien TLS. Bilde: Colourbox
Harald BrombachHarald BrombachNyhetsleder
26. juni 2017 - 08:34

I forrige uke kom Microsoft med et blogginnlegg hvor de ikke bare ber selskapets kunder til å legge SSL bak seg, men også oppmuntrer til å pensjonere TLS 1.0 og 1.1 (Transport Layer Security), også på operativsystemnivå. Den sistnevnte versjonen av TLS er fra 2006.

Erstatteren, TLS 1.2, er med sine ni år ikke så veldig mye nyere. Men det er denne versjonen Microsoft nå mener at kunden bør skifte over til, i alle fall inntil versjon 1.3 blir klar. Det er uklart når dette vil skje, men det jobbes med spesifikasjonsutkastet.

Det fleste nyere IT-systemer har støtte for TLS 1.2, men mange IT-systemer har ganske lang levetid, så det er ikke gitt at det vil være problemfritt å kutte støtten for de eldre utgavene av TLS. Ifølge Microsoft bør det likevel gjøres.

Les også: Chrome fikk støtte for TLS 1.3. Det var ikke problemfritt

Begrenset holdbarhet

IT-sikkerhet blir ofte fort foreldet. Dette er en av grunnene til at IT-systemer stadig må vedlikeholdes. Det finnes mange IT-systemer som ikke har blitt skikkelig vedlikeholdt på flere år, noe som gjør dem stadig mer åpne for angrep. 

Med vedlikehold mener vi ikke bare installasjon av sikkerhetsoppdateringer. IT-sikkerhetslandskapet endrer seg såpass raskt at man jevnlig bør se om sikkerhetsvurderinger som man gjorde for et år eller to siden, fortsatt er gyldige. 

Utdatert kryptering

Dette gjelder ikke minst i forbindelse med kryptering, hvor både etablerte chiffersamlinger og protokoller må forkastes fordi ny teknologi gjør dem langt enklere å knekke, eller fordi det blir funnet sårbarheter i dem. 

Det finnes mange servere, også norske, som er eksponert mot internett, men som fortsatt bruker mer eller mindre foreldet krypteringsteknologi. 

I noen av de verste tilfellene tilbyr serverne støtte for den i dag svært usikre 1990-tallsteknologien SSL (Secure Sockets Layer). Etterfølgeren, altså TLS 1.0, ble lansert allerede i 1999 og burde ha ført til at bruken av SSL ble helt utradert for mange år siden.

Også tidligere: Microsoft kaster ut gammel krypto 

TLS 1.2 og Windows Server 2008

Litt overraskende i denne sammenhengen er det at ikke all programvare med TLS-støtte som Microsoft fortsatt støtter, har støtte for TLS 1.2. Et eksempel på dette er Windows Server 2008. Men nå viser det seg at Microsoft skal komme med TLS 1.2-støtte til dette aldrende serveroperativsystemet i løpet av sommeren. 

For å hjelpe kundene på veien mot en infrastruktur uten støtte for de gamle krypteringsprotokollene, har Microsoft kommet med en whitepaper som er ment som utgangspunkt når man skal planlegge en migrering til et nettverksmiljø basert på TLS 1.2 eller nyere.

Microsoft foreslår en rekke trinn på veien dit, inkludert kodeanalyse for å finne hardkodede tilfeller av TLS 1.0 og 1.1, nettverksskanning for å finne operativsystemer som bruker de gamle protokollene, samt full regresjonstesting av hele applikasjonsstacken for å se hva som skjer når TLS 1.1 og eldre er deaktivert.

Det er først med Windows 8 og Windows Server 2012 at Microsofts operativsystemer benytter TLS 1.2 som standard, noe tabellen nedenfor viser.

Windows OS

SSLv2 SSLv3 TLS 1.0 TLS 1.1 TLS 1.2
Vista (WS2008) Enabled Enabled Default Not Supported Not Supported
Windows 7 (WS2008 R2) Enabled Enabled Default Disabled Disabled
Windows 8 (WS2012) Disabled Enabled Enabled Enabled Default
Windows 8.1 (WS2012 R2) Disabled Enabled Enabled Enabled Default
Windows 10 Disabled Enabled Enabled Enabled Default
Windows Server 2016 Not Supported Disabled Enabled Enabled Default
Kilde: Microsoft

Les også: Mener tiden er inne for å ta i bruk kryptoteknologien TLS 1.3

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
4 fordeler med å bruke Tekjobb til rekruttering
Les mer
4 fordeler med å bruke Tekjobb til rekruttering
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra