TSLv1.0 un TLSv1.1 status Latvijā

[Guest]

Sveiki

 

Vēlējos jautāt, vai kāds Latvijā pievērš uzmanību tam ka TLSv1.0 TLSv1.1 ir jāslēdz ārā e-pasta provaideriem par cik tas jau sen kā nav drošs un oficiāli ir novecojis.

Vairāki servisi kā arī atvērtā koda projekti plāno mest nost vai jau ir nometuši atbalstu tam.

 

Kur ir problēma, ir vairāki uzņēmumi kas vēl jau projām izmanto Windows XP, W7, Office 2010 un vispār novecojušu programmatūru kas bez modifikācijām neatbalsta TLSv1.2.

Neesmu drošs ko hostinga provaideri dara šajā ziņā.

 

Vai kāds par to vispār runā un kādas ir Jūsu domas?

 

 

Ar Cieņu,

Jānis

 

[e = d]

Tiem, kas karšu datus apstrādā, sen vajadzēja būt atslēgtām šīm versijām.

[Guest]

4 minutes ago, e = d said:

Tiem, kas karšu datus apstrādā, sen vajadzēja būt atslēgtām šīm versijām.

Tas protams, savādāk jau PCI Compliance jau no 2017/2018 gada nevar iziet.

[MIGs]

Ko tu vēlies ar šo pateikt ? To, ka ir cilvēki kas sēž uz veciem softiem un dzelžiem un tāpēc izmanto ne tik drošu kriptēšanu ?

Laikam jau par plain-text trafiku drošāks ir tāpat. Un vēl aizvien daudziem servisiem ir pieejami slēgumi arī plain text variantā. Un kāpēc gan lai tā nebūtu ?

Ja tu pats izvēlies sūtīt nedroši, tad atbildība uz pašu. Serviss tik nodrošina izvēles brīvību.

Protams, ka gala lietotājs ir neizglītots, bet ir kad vajag tās nedrošās lietas. Lielisks piemērs -  tizla, specifiska kamera kas sūta bildes uz e-pastu. Nu nemāk viņa izmantot šifrētu SMTP.

Un ko tagad darīt ? Esmu priecīgs, ka serviss atbalsta arī plain-text variantu.

Visur citur varu izmantot to ko sirds kāro.

 

 

 

[Guest]

@MIGs

 

Quote

Lielisks piemērs -  tizla, specifiska kamera kas sūta bildes uz e-pastu. Nu nemāk viņa izmantot šifrētu SMTP.

Ja kādam ir tāda kamera tad lai turpina sūtīt caur port 25, ja tā sūta caur 587 vai 465 tad tā jau šifrē. Ja tā ir pārāk veca, tad laiks iegādāties jaunu.

 

Es šajā gadījumā runāju vairāk par uzņēmumiem. Izmantot uzņēmumā novecojušu, nedrošu programmatūru, jau pati par sevi ir ļoti dumja lieta.

 

Lielisks piemērs, ir uzņēmumi kuriem ir savi in-house e-pastu serveri, nav neviens IT speciālists. Office 365 kā arī citi šogad vairs neatbalstīs TLSv1.0.

Līdz ar to tāds uzņēmums vairs nevarēs komunicēt ar partneriem un klientiem kuri izmanto modernāku protokolu. Kamēr tādi sapratīs ko notiek un risinās problēmu, zaudējumi būs nodarīti.

Vai būtu bijis labāk ka jau laicīgi tādi uzņēmumi zinātu ko darīt? Protams.

 

Otrs variants, e-pasta servisa provaideris lai uzlabotu savu servisa kvalitāti un drošību izslēdzot vecu protokolu, forsē uzņēmumam vai nu uzlabot savu IT vai arī meklēt citu servisa provaideri kas vēl sēž pagātnē.

 

Kas ir labāk šajā gadījumā? Veicināt progresu industrijā vai gluži pretēji?

 

[TasEsmuEss]

Īsti uz visiem 100 šos principus neizprotu, jo ikdienā ar to nestrādāju, bet kā tieši gaidāmā TLSv1.0 un TLSv1.1 atslēgšana ietekmēs sazināšanās iespējas ar "partneriem"?

 

Ja ir in-house serveris un ir uzkonfigurēts tā, ka atbalsta gan vecākas, gan jaunākas šifrēšanas metodes...Tad jau joprojām no vecā labā Office 2007 un Office 2010 varēs pastu nosūtīt un saņemt, ne tā? Nav tak tā, ka ar TLSv1.2 šifrētu vēstuli no uzņēmuma X nevarēs izlasīt lietotājs uzņēmumā Y, kas izmanto TLSv1.0?

 

Vai arī kārtējais veids, kā Micro$oft cenšas nogalināt novecojušo programmatūru, lai visus spiestu pāriet uz W10 un O365? E-pastu pārbaudei Outlook un atskaišu rakstīšanai Wordā tāds dators ar SSD, 4GB RAMu un W7/O2010ProPlus tīri labi tiek galā. Ne jau visur tās pašas valsts un pašvaldību iestādes atrod līdzekļus jaunāko $oftu iegādei.. Realitātē vēl daudz lieto W7 ar O2010.. Zinu vien pāris ārstniecības iestādes, skolas, augstkolas u.c.

Labots Janvāris 10, 2020 - TasEsmuEss

[Guest]

3 minutes ago, TasEsmuEss said:

...bet kā tieši gaidāmā TLSv1.0 un TLSv1.1 atslēgšana ietekmēs sazināšanās iespējas ar "partneriem"?

Viens veids ir tāds, ja uzņēmējam ir piem. Win XP,  tas vispār nevarēs savienoties ar SMTP serveri kurš atbalsta tikai TLSv1.2+. Uzņēmumi kas hostējas kur citur.

 

Ja iet runa par in-house, jā ja viss pareizi izdarīts problēmu nebūs, tikai drošības, bet pieņemsim ka ir uzstādīts vairākus gadus atpakaļ un netiek regulāri atjaunots, tad serveri savā starpā vairs nevarēs komunicēt. Vai arī kāds ļoti slinks, vai kā citādi, hostinga sniedzējs neuzskata to par nepieciešamu vismaz ieslēgt v1.2.

 

Windows 7 ir iespējams ieslēgt v1.2, bet protams pats lietotājs to nepratīs.

 

16 minutes ago, TasEsmuEss said:

Vai arī kārtējais veids, kā Micro$oft

Nu kā uz to skatās, vai domā ka šiem vajadzētu pagarināt Win Xp un vai W7 dzīvi?

 

Vietās kur ir savs IT personāls, problēmas neredzu, jo tie cilvēki jau zinās kā ko darīt. Cerams.

[Guest]

@ieleja

 

Pie manis hostējas vairāki uzņēmumi, vienā direktors izmanto WinXp vēl citā grāmatvedība. Šie klienti tikai caur TLSv1.0 ir spējīgi. Jo, nav ne atjaunoti ne pačoti.

 

Nav nekas no pirksta izzīsts, realitāte.

 

 

Edit: Es pats šokā biju kad gatavojos mest nost supportu. Tas jau tagad kādu laiku velkas.

Labots Janvāris 10, 2020 - Guest

[Guest]

Office programmas. Outlook šajā gadījumā.

 

Below table should give you a good understanding of what protocols are supported on Windows OS.

Windows OS Version	SSL 2.0	SSL 3.0	TLS 1.0	TLS 1.1	TLS 1.2
Windows XP & Windows Server 2003	✓	✓	✓	X	X
Windows Vista & Windows Server 2008	✓	✓	✓	✓	✓
Windows 7 & Windows Server 2008 R2	✓	✓	✓	✓	✓
Windows 8 & Windows Server 2012	✓	✓	✓	✓	✓
Windows 8.1 & Windows Server 2012 R2	✓	✓	✓	✓	✓
Windows 10 & Windows Server 2016	✓	✓	✓	✓	✓

TLS 1.1 & TLS 1.2 are enabled by default on post Windows 8.1 releases. Prior to that they were disabled by default. So the administrators have to enable the settings manually via the registry.

 

Source: https://docs.microsoft.com/en-us/archive/blogs/kaushal/support-for-ssltls-protocols-on-windows

 

 

Ir uzņēmumi kuriem nav IT personāla, kuriem šķiet ka IT nav jēgas investēt. Uzņēmumi kas vispār nezin ko nozīmē IT.

Visu laiku viss strādāja, kāpēc kaut kas jāmaina, nav vajadzīgs...

Es saprotu ja cilvēks šo to saprot, tad uzmetīs atjauninājumus, pamainīs iestatījumus, utt, bet 99% darbinieku tikai fona bildi māk nomainīt.

 

Saprotam par ko iet runa, ne? Īsak sakot, atstojs.

 

[jema]

Zēns ir izlasījis 4 gadu vecu žurnālu, malacis un ērglis!

[MIGs]

Iespējams, jauniņais/praktikants kādā hostinga kantorī.

 

Tas jau nekas, ka iekārtas/servisi komunicē un izvēlas ar kādām kriptēšanām strādāt.  Ja nav pieejams labākas, tad fallbacko uz vājākām.

Kāpēc neiztirzāji par Tls1.3 izmantošanu - par un pret ?!

Un kādu TLS implementāciju izmanto Tu ?

Vai izmanto Nginx arTLS 1.2 vai TLS1.3 - ja tā, tad cik sen ? Es brīdi atpakaļ saskāros ar problēmu, ka Nginx neatbalsta TLS 1.3, jo paļauajs uz vecāku OpenSSL versiju(vai aŗi tā bija Debian 9.x vaina - vairs neatminos) Opcija bija pašam pačot un buildot nginx vai izmantot Tls 1.2. Kā pats ar šo tiki galā ? Pats pačoji Nginx un OpenSSL vai gaidīji  oficiālās relīzes ?

@Jānis802, padalies ar savu pieredzi!

Arī šeit var iztirzāt boot.lv: https://globalsign.ssllabs.com/analyze.html?d=boot.ritakafija.lv

 

 

 

[Guest]

Es ar hostingu jau kopš 2012 gada nodarbojos.

 

Protams, serveri savā starpā lai komunicē kā spēj. Es esmu uz drošību tendēts, līdz ar to vienmēr mēģinu būtu vienu soli priekšā.

Vienmēr domāju par downgrade uzbrukumiem, MItM etc lai pasargātu cilvēkus, klientus uz pats sevi.

Domēnus parakstu ar DNSSEC, Epastus ar DKIM.

 

Domāju ko es ten pieminēšu par TLSv1.3, bet, tikko kā TLSv1.3 specifiākija tika finalizēta un OpenSSL 1.1.1 iznāca, uzreiz ieslēdzu TLSv1.3 par cik pats Nginx jau ap 2018 gada februāri to atbalstīja.

Uz web hostinga serveriem tad arī nometu atbalstu v1.0 un v1.1. Atbalstu tikai TLSv1.2 un 1.3.

 

Epasta serveros, izejošajiem,  arī ap to pašu laiku nometu atbalstu v1.0 un v1.1. Tur problēmu nav.

Email serveros kuriem klienti slēdzas klāt, līdz pat šim brīdim nākas atbalstīt dažus ar legasy sistēmām, bet drīz arī ten tikai v1.2 un v1.3 atbalstīšu.

 

Pats tikai uz mainline nginx dzīvoju, repos pieejamās drusku par vecu gan.

Kaut kā esmu pieradis manuālajā dzīvot, arī pats personīgajā dzīvē kā main desktopu izmantoju Arch.

 

 

P.s. Geez, bieži nenākas redzēt tik daudz weak cipher suites. Laikam viss ok.
Skatos ka boots epasta serverim uz :587 sertifikāts beidzās  August 2nd 2017, 10:33 CEST, atbalsta tikai TLSv1.0 un nav DKIM, bet nu laikam jau šiem nav nepieciešams.
https://www.immuniweb.com/ssl/?id=qkm1yJtZ
 

Uz :993 atbalsta SSLv3 TLSv1.0 TLSv1.1 TLSv1.2, jocīgi konfigurēts manuprāt.
https://www.immuniweb.com/ssl/?id=bw2ZKGtP
@MIGs