NSA insta a los administradores de sistemas a reemplazar los protocolos TLS obsoletos

Esta semana, la agencia lanzó nuevas guías y herramientas para equipar a las empresas a actualizar desde versiones antiguas obsoletas de TLS (TLS 1.0 y TLS 1.1) a versiones más nuevas del protocolo (TLS 1.2 o TLS 1.3).

TLS (así como su precursor, Secure Sockets Layer o SSL) se desarrolló como un protocolo destinado a proporcionar un canal privado y seguro entre servidores y clientes para comunicarse. Sin embargo, se han revelado varios ataques nuevos contra TLS y los algoritmos que utiliza, desde Heartbleed hasta POODLE , lo que hace que las versiones anteriores del protocolo sean inseguras.

“Los estándares y la mayoría de los productos se han actualizado, pero las implementaciones a menudo no se han mantenido al día”, dijo la NSA en su guía esta semana . “Las conexiones de red que emplean protocolos obsoletos tienen un riesgo elevado de explotación por parte de los adversarios. Como resultado, todos los sistemas deben evitar el uso de configuraciones obsoletas para los protocolos TLS y SSL «.

La alerta de la NSA se suma a un impulso colectivo existente para actualizar los protocolos TLS, con algunos de los organismos de estándares y reguladores más importantes que exigen que los operadores de servidores web se aseguren de pasar a TLS 1.2 antes de fines de 2020. Al mismo tiempo, muchos navegadores importantes: incluidos Chrome y Mozilla , han dejado de admitir TLS 1.0 y TLS 1.1.

Parte de las recomendaciones de la NSA incluyen el uso de sistemas de monitoreo de red para detectar versiones de TLS obsoletas. La NSA también proporcionó más información sobre la priorización de la corrección de las versiones de TLS obsoletas.

“Los dispositivos de monitoreo de red se pueden configurar para alertar a los analistas sobre servidores y / o clientes que negocian TLS obsoletos o pueden usarse para bloquear el tráfico TLS débil”, según la NSA. “La elección de alertar y / o bloquear dependerá de la organización. Para minimizar el impacto de la misión, las organizaciones deben utilizar un enfoque por fases para detectar y reparar clientes y servidores hasta que se haya solucionado un número aceptable antes de implementar las reglas de bloqueo».