Transport Layer Security (TLS) är ett protokoll som ser till att trafiken mellan en webbläsare och en webbserver krypteras. TLS sköter bland annat förhandlingen och nyckelutbytet mellan ändpunkterna. Den hittillsvarande versionen 1.2 går visserligen att implementera säkert, men det har ändå uppdagats säkerhetsbrister på grund av olika tillägg till protokollet. Alla tidigare versioner (1.1 och 1.0) anses idag vara osäkra.

Steget mellan 1.2 och 1.3 ser måhända inte ut som ett stort kliv, men faktum är att 1.3 är ett rejält fall framåt både sett till säkerhet och inte minst för att den nya versionen kommer ge bättre prestanda, skriver Tech Target.

Det har tagit standardiseringsorganet IETF inte mindre än fyra år och 28 utkast att komma fram till beslut om den slugiltiga versionen. Å andra sidan är det ingen struntsak de arbetat med – TLS är det förmodligen viktigaste och mest använda säkerhetsprotokollet på webben. TLS 1.2 är idag tio år gammalt och har sett sin beskärda del av attacker som Freak, Logjam, Drown och Beast, och massövervakning av krypterad trafik utförd av statliga säkerhetstjänster.

Sveriges största event inom digitala affärer är tillbaka! Webbdagarna Stockholm 19-20 mars. Boka nu!

Den säkerhetsmässigt viktigaste nyheten i version 1.3 är vad den inte inkluderar. TLS 1.3 tar till ett alexanderhugg mot krypteringstekniker som inte håller måttet. Ut åker stöd för Cipher Block Chaining Mode (CBCM), 3-DES och RC4, vilket gör att TLS 1.3 kan stå emot attacker som Freak, Logjam och Poodle. Istället kommer TLS 1.3 endast att stödja tekniker som man vet är säkra idag – dit hör nyckelutbyte med Elliptic Curve Diffie-Hellman (ECDH), Authenticated Encryption with Associated Data (AEAD) och HMAC Key Derivation Function (HKDF).

Jonas Lejon
Jonas Lejon är it-säkerhetsexpert och sitter bland annat i styrelsen för Internetstiftelsen i Sverige, IIS.

– Det viktigaste är att man tar bort stöd för gamla algoritmer, skriver it-säkerhetsexperten Jonas Lejon till Techworld.

En annan viktig säkerhetsnyhet i TLS 1.3 är att protokollet inte längre förhandlar om vilket teknik som ska användas för att kryptera trafiken. Med TLS 1.2 (och tidigare) förhandlar klienten och servern om vilken teknik som ska användas, vilket kan leda till så kallade nedgraderingsattacker.

Med TLS 1.3 initierar klienten kopplingen med servern genom att meddela vilken resurs den vill komma åt, servern svarar med att skicka en kryperingsnyckel, klienten svarar i sin tur med en sessionsnyckel och sen är kopplingen klar. Dessutom genereras endast engångsnycklar per session; tidigare kunde en förövare som kom över serverns privata nyckel avkryptera inspelade sessioner.

För att förbättra prestanda har IETF valt att ta bort en hel runda från den handskakning som etablerar ett https-koppel, vilket gör att https-kopplingar blir mer effektiva och mindre resurskrävande. Detta är inte minst en god nyhet för mobilanvändare och sajter med mycket trafik eftersom färre rundor i handskakningen ger mindre fördröjning och cpu-användning.

Handskakningsproceduren har också blivit säkrare eftersom den inte längre sker helt öppet, vilket är fallet med hittillsvarande versioner. TLS 1.3 krypterar större delen av handskakningen, speciellt den del som kallas SNI (Server Name Indication) och som kan utnyttjas för att se vilken server klienten vill kommunicera med och utföra trafikanalyser.

– Den största nyheten ur it-säkerhetsperspektiv är att man krypterar större delen av meddelandet, såsom certifikat och url. Det gör att säkerhetsprodukter som bygger på att inspektera trafiken i en gateway tappar effektivitet eftersom de inte längre kan avkryptera. Det ställer krav på nya säkerhetslösningar som jobbar med att analysera trafikflöden utan att avkryptera innehåll. Det leder också till att det blir ännu viktigare med ändpunktssäkerhet eftersom där kan man övervaka innan det krypteras, säger Henrik Bergqvist, chef för Cyber Security på Cisco i Sverige.

Henrik Bergqvist
Henrik Bergqvist, Cisco.

För att ytterligare snabba upp handskakningen tillför TLS 1.3 en teknik som kallas 0-RTT-Resumtion. Tekniken går ut på att spara informationen från tidigare lyckade handskakningar mellan klienten och servern. Det här gör att det går betydligt fortare att etablera fortsatta sessioner mellan enheter som redan ”känner” varandra. Speciellt kan detta göra stor skillnad för mobilklienter. 0-RTT-Resumtion kan dock vara något säkerhetsfolk får se upp med eftersom den förövare som kommer över en fysisk enhet och kan öppna informationen då kan spoofa tidigare sessioner.

Enligt IETF bör det gå smidigt att uppgradera; detta gäller särskilt klienter då de flesta webbläsare och andra applikationer redan stödjer TLS 1.3. Det nya protokollet använder samma nycklar och certifikat, och klienter och servrar kan automatiskt förhandla om TLS 1.3 ifall bägge sidor stödjer det. Administratörer på serversidan behöver bara se till att TLS är påslaget som grundinställning.

Läs också:
TLS 1.0 och 1.1 går i graven
Tyskland vill införa lagkrav på hur en router ska konfigureras