Upload
andrey-fesenko
View
253
Download
2
Embed Size (px)
Citation preview
Вводная Чем шифруем? Ужасы в реальности Перспективы Заключение
Зачем? Не болтай!
Наглядная агитация
TLS/SSL и все, все, все
Вводная Чем шифруем? Ужасы в реальности Перспективы Заключение
Зачем? Не болтай!
Наглядная агитация
TLS/SSL и все, все, все
Вводная Чем шифруем? Ужасы в реальности Перспективы Заключение
Зачем? Не болтай!
Наглядная агитация
TLS/SSL и все, все, все
Вводная Чем шифруем? Ужасы в реальности Перспективы Заключение
Зачем? Не болтай!
Наглядная агитация
TLS/SSL и все, все, все
Вводная Чем шифруем? Ужасы в реальности Перспективы Заключение
Зачем? Не болтай!
Наглядная агитация
TLS/SSL и все, все, все
Вводная Чем шифруем? Ужасы в реальности Перспективы Заключение
Зачем? Не болтай!
Наглядная агитация
TLS/SSL и все, все, все
Вводная Чем шифруем? Ужасы в реальности Перспективы Заключение
Где и чем проверить
I OpenSSL s_clientI ssllabs.com пожалуй самый авторитетный тестI Mozilla Security/Server Side TLS, cipherli.stI testssl.sh очень интересный локальный сканерI Nmap pluginsI ...
TLS/SSL и все, все, все
Вводная Чем шифруем? Ужасы в реальности Перспективы Заключение
Не панацея
How Safe is OpenSSL? Part I
TLS/SSL и все, все, все
Вводная Чем шифруем? Ужасы в реальности Перспективы Заключение
OpenSSL
I OpenSSLI Наиболее распространён, практически значение по
умолчаниюI Последние годы, сильно критикуется за наличие багов,
“закладок”?
TLS/SSL и все, все, все
Вводная Чем шифруем? Ужасы в реальности Перспективы Заключение
GnuTLS
I GnuTLSI Вторая по популярности, после OpenSSL (не конфликтует)I Очень распространена, в производных debian, но хорошо
ли это?I Имеет не совместимый с OpenSSL формат chipset и
“опций”
TLS/SSL и все, все, все
Вводная Чем шифруем? Ужасы в реальности Перспективы Заключение
...SSL
I LibreSSL - OpenBSD (релиз цикл связан)I специальное API для tls
I BoringSSL - googleI MatrixSSL - небольшая встраиваемая имплементацияI wolfSSL - для выстраиваемых решенийI mbed TLS (formerly known as PolarSSL)I .... (большинство альтернатив было вызвано большим
количеством ошибок в период Heartbleed Bug)I Mozilla NSS Tools (ужас летящий на крыльях CentOS
OpenLDAP)
TLS/SSL и все, все, все
Вводная Чем шифруем? Ужасы в реальности Перспективы Заключение
Сертификаты
I Самоподписные (self signed)I Ну если уж себе не доверять, то кому?I Всё остальное в минусы, сложность поддержки и
интеграцииI Центры авторизации (GlobalSign, Verisign, 沃通免费SSL证书, ...) (Let’s Encrypt)
I Бесплатно выписываются только SSL-сертификаты домена(DV SSL), процедура не очень проста и часто наограниченное время
I Сертификаты SSL - организации (OV SSL) и SSL - высокойнадежности (EV SSL) платные и требуют прохождениянепростой процедуры
I (как вариант по умолчанию) сертификат создаётся сразу ссекретной частью ключа
TLS/SSL и все, все, все
Вводная Чем шифруем? Ужасы в реальности Перспективы Заключение
Устаревшие версии
I В сами библиотеки, обновления безопасности, обычнобекпортируются оперативно
I Сложнее, если вам достался сервер, с уже неподдерживаемой системой
I А вот если что то меняется в работе программ (обычно вновых версиях), то ...
I Старое клиентское ПО, вынуждает поддерживатьустаревшие методы (SSL3, TLS1.0, ...)
I Почти никто не поддерживает DNSSSEC, DANE, HPKP(HTTP Public Key Pinning) и подобные технологии
I Большая часть инфраструктуры проверки сертификатовIPv4-only
TLS/SSL и все, все, все
Вводная Чем шифруем? Ужасы в реальности Перспективы Заключение
Не полная поддержка
I “Dovecot used to support both GNUTLS and OpenSSLlibraries, but nowadays only the OpenSSL code is working.”
I Exim, при использовании GnuTLS требует дополнительноговнимания к работе с dhparam
I Часто в программах не реализована, установкадополнительных ограничений, через специальныепараметры, а по умолчанию используются не оптимальныезначения
I В dovecot невозможно запретить Secure Client-InitiatedRenegotiation
TLS/SSL и все, все, все
Вводная Чем шифруем? Ужасы в реальности Перспективы Заключение
Баги, они везде
I Во вводной, ужедемонстрироваласьвременная шкалауязвимостей и это толькосамые громкие
I Dovecot не подключалсяк ldaps, в сборке CentOS
I imtest cyrus, неподозревает о tls
I Не проверяется OnlineCertificate Status Protocol(OCSP)
TLS/SSL и все, все, все
Вводная Чем шифруем? Ужасы в реальности Перспективы Заключение
Перспективы
I Возможно Let’s Encrypt и Certificate Transparency улучшатситуацию, с доступностью и доверием к центрамсертификации
I Внедрение новых стандартов безопасности и отказ отподдержки древних
I http2 (“opportunistic encryption”)I Более широкая поддержка ECDSA, элиптических кривых?
TLS/SSL и все, все, все
Вводная Чем шифруем? Ужасы в реальности Перспективы Заключение
Подборка ссылок
При подготовке слайдов, вероятно, использовались материалыдоступные по следующим ссылкам.
I Полезные советы от ssllabs.comI BetterCrypto.orgI Ключи, шифры, сообщения: как работает TLS, Автор:
Александр Венедюхин 04/09/2015I LibreSSL FreeBSD wikiI TLS Certificate Optimization: The Technical Details behind
“No Browser Left Behind”I Free SSL Certificates for Open Source Projects (не пробовал
но вдруг)
TLS/SSL и все, все, все
Вводная Чем шифруем? Ужасы в реальности Перспективы Заключение
Вопросы?
Спасибо за внимание!Вопросы? :-)
TLS/SSL и все, все, все