Gravedad: Alta
Fecha de publicación: 28 de febrero de 2020
Fuentes:
- https://portswigger.net
- https://blog.mozilla.org/
- https://scotthelme.co.uk/
- https://blog.segu-info.com.ar
Sistemas afectados: TLS 1.0, 1.1
¿Qué es el TLS?
El TLS (Transport Layer Security) permite y garantiza el intercambio de datos en un entorno seguro y privado entre dos entes, el usuario y el servidor, mediante aplicaciones como HTTP, POP3, IMAP, SSH, SMTP o NNTP. Nos referimos al TLS como la evolución del SSL dado que está basado en este último certificado y funciona de manera muy similar, básicamente: encripta la información compartida.
¿Cuál es el impacto?
Los sitios web que admiten protocolos de encriptación no superiores a TLS 1.0 o 1.1 tienen solo unos pocos dias para actualizarse antes de que los principales navegadores comiencen a devolver páginas de error de ‘conexión segura fallida’.
Google, Apple, Microsoft y Mozilla acordaron conjuntamente en octubre de 2018 desaprobar los protocolos obsoletos a principios de 2020, una medida que probablemente acelere el tráfico que fluye a sitios rezagados aún para actualizarse a TLS 1.2 y superior.
Mozilla ha confirmado que el soporte del navegador para TLS 1.0 y 1.1 finalizará a partir de marzo de 2020. El movimiento no solo se aplicará a Firefox. Google Chrome , Microsoft Edge e Internet Explorer 11 y el navegador Safari de Apple deben revocar la compatibilidad con TLS 1.0 / 1.1.
El acuerdo entre Apple, Google, Microsoft y Mozilla para retirar el soporte para estos protocolos criptográficos antiguos probablemente será bien recibido por los desarrolladores web que buscan un Internet más seguro.
“La desventaja de eliminar las conexiones TLS 1.0 y TLS 1.1 desactualizadas es que los usuarios ya no podrán acceder a sitios web que usan las versiones anteriores de TLS”.
Mientras que TLS 1.3, lanzado en 2018 , ahora es el estándar de oro, TLS 1.2 cumple con PCI DSS y se mantiene en buen estado a pesar de tener más de una década de antigüedad.
Tanto TLS 1.2 como 1.3 son compatibles con todos los principales navegadores. Ambos son compatibles con los últimos conjuntos de algoritmos y algoritmos de cifrado criptográfico, eliminan funciones hash SHA-1 y MD5 obligatorias e inseguras como parte de la autenticación de pares, y son resistentes a ataques relacionados con degradación como LogJam y FREAK.
Recomendación
• Los propietarios de sitios web tendrán que actualizar o arriesgarse a interrumpir el acceso al dominio
• Admite TLSv1.2 y TLSv1.3 para que los clientes modernos puedan conectarse con el mejor protocolo posible.
• Si no está seguro acerca de la configuración SSL de su sitio, recomienda usar herramientas como SSL Labs Server Test https://www.ssllabs.com/ssltest/
Información de contacto
CSIRT PANAMA
Autoridad Nacional para la Innovación Gubernamental
E-Mail: info@cert.pa
Web: http://www.cert.pa