Nu i vår har TLS 1.3 äntligen blivit godkänt av organisationen IETF, Internet Engineering Task Force, och det innebär en del skillnader mot tidigare. Protokollet är nu både snabbare och säkrare. Men samtidigt som protokollet blir säkrare för användarna försvårar det för de företag och organisationer som behöver ha mer kontroll över trafiken.
Resan mot ett krypterat internet startade redan 1994 med protokollet Secure Socket Layer, SSL, som kom med webbläsaren Netscape Navigator 1995. På internet idag är efterföljaren Transport Layer Security, TLS, det mest använda krypteringsprotokollet. Det står för upp till 70 procent av http-kommunikationen, enligt en undersökning som Google gjorde på sina produkter hösten 2017.
TLS-krypterad trafik i en företagsmiljö utgör en del utmaningar. På den ena sidan står fördelarna med end-to-end-kryptering, man vet att data man sänder över internet är relativt säkra och att mottagaren är den riktiga. På den andra sidan står hackaren som också gärna använder kryptering för kommunikation.
Att kunna kontrollera och dekryptera användares trafik är viktigt för vissa organisationer, då man har ökade möjligheter att skydda användare från malware och intrångsförsök. Men att dekryptera trafiken är alltid en balans mellan organisationens säkerhet och användarens privatliv, och ses av vissa som ett problem då det inte följer standard med kryptering mellan ändpunkterna, dator och server.
Läs också: Forskare har knäckt AMD:s kryptering
TLS 1.3 – en ny verklighet från våren 2018.
Fram tills 2018 har det varit TLS version 1.2 som har varit standard. I denna version har man delvis kunnat hantera krypterad trafik och samtidigt haft möjligheten att med olika sätt kontrollera eller styra trafiken, genom att dekryptera, titta på trafiken och kryptera om den när den passerar en proxy eller så kallad nästa generations brandvägg. Men just på grund av att man inte skyddar användarens privata information och att TLS 1.2 de sista åren haft ett flertal sårbarheter som har gjort urholkat säkerheten, har man tagit fram en ny TLS-standard, TLS 1.3.
I det nya protokollet har man arbetat fram ett flertal förbättringar mot tidigare, förbättringar som ska svara upp mot hur TLS-kryptering används på internet idag.
• Snabbare. Genom att minska antalet paket som skickas mellan klient och server så får man ner tiden det tar för TLS att skapa en krypterad tunnel med en tredjedel, jämfört medTLS 1.2. Man har även en funktion som gör att en sedan tidigare känd session kan återupptas och man slipper köra TLS-förhandlingen mellan server och klient på nytt. Att få ner hastigheten är speciellt viktigt för trafik över mobila nätverk och ger en bättre upplevelse när man surfar på till exempel mobiltelefonen.
• Säkrare. Det fanns flera designmål runt säkerheten i TLS 1.3, och bland annat har man tagit bort en del krypton ur protokollet. Dels krypton som har varit använda i en del attacker mot TLS de sista åren, men man har även städat upp och tagit bort de krypton som inte längre anses helt säkra.
I designen av TLS 1.3 har man också strävat efter att minska vad som kan läsas ur trafiken och minska möjligheten att spåra information över tid. Detta utgör ett problem för de flesta leverantörer av enheter som kan köra TLS-proxy eftersom man har använt information som tidigare varit synligt för att göra policybeslut. The Internet is going dark.
Hur skyddar du din verksamhet när ni inte ser trafiken? När mer och mer data skickas krypterade över internet skapar det ett problem för företag och organisationer att skydda sina användare. Med TLS 1.2 går det fortfarande att använda en proxy och köra så kallad SSL decrypt för titta på trafiken, men med TLS 1.3 så är det en utmaning då man inte ser all information – information som i dag används när man dekrypterar TLS 1.2.
Men det finns ett par saker som man kan göra dels med dekryptering men även med den övriga säkerheten i organisationen.
• Dekryptering. TLS 1.2 kommer att dominera internet ett tag till, och flertalet leverantörer av proxylösningar kommer att ta fram en möjlighet att tvinga användaren att köra TLS 1.2 istället för TLS 1.3 för att på så vis kunna titta i den krypterade trafiken. Det som är negativt med detta är om man som organisation inte säkrar TLS 1.2 på bästa sätt och utsätter användaren för en risk.
• DNS-skydd. Malware använder till största delen DNS för att hitta sina Command & Control-servrar. Med ett molnbaserat DNS-skydd som har kontroll på vilka domäner som finns och när de skapades och som kan analysera trender på internet får man ett skydd som blockerar baserat på DNS. Man kan stoppa dåliga sajter redan när användaren klickar på länken och gör DNS-uppslaget.
• Klientskydd. Ett så kallat Advanced Endpoint Protection, AEP, är viktigare idag än tidigare. AEP är en vidareutveckling av det traditionella signaturbaserade virusskyddet, och använder molnbaserade tjänster så som avancerade algoritmer och sandboxing för att hitta och se vad filen gör när den hamnar på en klient.
• Trafikanalys. Genom att analysera trafikmönster i nätverket finns det möjlighet att upptäcka kända hot även om trafiken är krypterad.
Läs också: GDPR: Här är allt du behöver veta om EU:s nya dataskyddsregler
Flera av de stora spelarna på internet driver på TLS 1.3, och användningen av protokollet lär öka snabbt. Det ställer större krav på kunskap om hur säkerheten fungerar i nätverket, och man behöver se mer på de alternativ som finns till perimeterskyddet, ett skydd som redan idag inte kan se all trafik som passerar. Att skydda ett nätverk i dag kräver att säkerheten finns i alla led, och man måste se helheten mellan de enheter som är nätverksanslutna – en strategi som kallas ”defense in depth”. Börja planera för TLS 1.3 redan nu och se på alternativen – då har du större möjlighet att skydda nätverket på ett krypterat internet.
Befattning: Senior nätverks- och säkerhetskonsult
Företag: Conscia Netsafe
Linkedin: Mikael Gustafsson
Twitter: @Micke_G_
E-post: mikael.gustafsson@netsafe.se
Expertområden: Nätverks-, informations- och cybersäkerhet, säkerhetsarkitektur och -design.
Certifieringar: CCIE inom säkerhet, plus ett par till.
Bakgrund: 15-års erfarenhet som senior konsult inom nätverks- och säkerhetsområdet på stora bolag och offentliga organisationer.