TLS, ikke SSL, takk!

Publisert: 15.10.2014

NSM arbeider med en veiledning i sikring av TLS på Windows. I forbindelse med POODLE-sårbarheten har vi valgt å legge ut deler av denne foreløpige veiledningen på bloggen.

Merk at dette innlegget er ikke ment for umiddelbar implementering i produksjonssystemer, men bør prøves ut i test- og referanseanlegg.

Transport Layer Security (TLS) er en teknologi for å sikre autentisiteten til en kommunikasjonspart, samt sikre konfidensialiteten til informasjonen som formidles mellom kommunikasjonspartene. TLS er en videreutvikling av Secure Sockets Layer (SSL), som ble utviklet av Netscape på midten av 90-tallet.

Når man etablerer en forbindelse med TLS, begynner man med å forhandle hvilken versjon av SSL/TLS som skal benyttes og hvilke kryptografiske mekanismer man ønsker. Dersom klienten og tjeneren finner en versjon og kryptomekanismer de kan bli enige om, etablerer de den sikre forbindelsen. Hvis ikke, termineres forbindelsen.

Sårbarheten som nå er oppdaget, POODLE, gjelder for SSL versjon 3.0. Dette er en relativt gammel standard, men dessverre er den i bruk i en rekke ulike "sikre nettløsninger", som nettbanker, nettbutikker og nettverksutstyr.

Ytterligere informasjon om sårbarheten finnes en rekke steder på Internett, men spesielt Daniel Fox Frankes blogginnlegg How POODLE Happened anbefales. En av hans konklusjoner er å slå av støtte for SSL 3.0.

I Windows er det relativt enkelt å slå av SSL 3.0, men dette gjelder kun for applikasjoner og tjenester som benytter Windows egne kryptomekanismer. En rekke applikasjoner og tjenester, som enkelte nettlesere, implementerer egne kryptobibliotek. For å slå av SSL 3.0 i disse, må leverandøren av disse løsningene kontaktes.

For å slå av støtten, må man forandre en registerverdi i Windows. Det er to ulike verdier som må endres, en for klient og en for tjener. De er henholdsvis:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
"DisabledByDefault"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
"Enabled"=dword:00000000

Når dette er utført, kan klienter gå til SSLv3 Poodle Attack Check og verifisere at man ikke lenger er sårbar for POODLE. For å sjekke om tjenere fortsatt er sårbare (støtter SSL versjon 3.0), kan man benytte Qualys SSL Server Test.

Trolig vil det være vanskelig å ta vekk all støtte for SSL versjon 3.0 på en lang stund, men ved å sjekke at man fortsatt får tilgang til sine sikre nettsteder uten støtte for SSL versjon 3.0, kan man etterhvert oppdatere alle klientmaskiner til kun å støtte TLS.

Ansvarlige for sikre nettsteder bør verifisere at systemene sine støtter TLS slik at de kan planlegge å gå vekk fra SSL versjon 3.0.

Som nevnt innledningsvis er dette innlegget en kort og tidlig utgave av NSMs veiledning for sikring av Windows TLS. Den endelige versjonen vil i tillegg til sperring av bruk av SSL inkludere begrensning i hvilke kryptografiske mekanismer som kan benyttes. Når dokumentet publiseres, vil bloggen informere om dette.

comments powered by Disqus