In queste pagine analizziamo l’evoluzione del protocollo Tls, da un po’ di tempo giunto alla versione 1.3, dopo un periodo lungo dieci anni rispetto la versione precedente. Con questo nuovo rilascio, la IETF ha aggiornato (finalmente!!) il nuovo protocollo per le comunicazioni su HTTPS, tecnologia ora molto più sicura rispetto al passato e che offre prestazioni migliori. La gestione della sicurezza informatica e della cybersecurity per le aziende risulta infatti fondamentale per non avere ripercussioni sulla produttività e la salvaguardia dei propri dati.
IETF: il riferimento per la sicurezza informatica
La IETF, ricordiamolo, acronimo di Internet Engineering Task Force è una grande comunità internazionale aperta di progettisti di reti, operatori, fornitori e ricercatori interessati all’evoluzione dell’architettura Internet e al buon funzionamento di Internet. E’ questa la sua “mission”: far funzionare meglio Internet producendo documenti tecnici pertinenti e di alta qualità che influenzano il modo in cui le persone progettano, utilizzano e gestiscono Internet. La partecipazione è aperta ad ogni persona interessata e ciascuno può esporre la propria idea.
Il lavoro tecnico dell’IETF viene svolto in gruppi di lavoro, organizzati per argomento in diverse aree e viene gestito attraverso mailing-list. La IETF organizza inoltre tre convegni all’anno.
Cosa è il TLS
TLS sta per Transport Layer Security ed è il successore di SSL (Secure Sockets Layer). TLS fornisce comunicazioni sicure tra browser Web e server. La connessione stessa è sicura perché la crittografia simmetrica viene utilizzata per crittografare i dati trasmessi. Le chiavi vengono generate in modo univoco per ciascuna connessione e si basano su un segreto condiviso negoziato all’inizio della sessione, noto anche come handshake TLS.
Dal TLS 1.2 al TLS 1.3
Perché si è voluti passare a tls 1.3? Presto detto: oggigiorno tutti gli aspetti della vita quotidiana, sia privata che non, passa dal web; i dati personali sensibili viaggiano attraverso server sparsi in giro per il mondo per cui si è reso necessario rafforzare il più possibile i protocolli di comunicazione.
Che benefici porta l’adozione del tls 1.3? Vediamoli insieme…
- Il Transportation Layer Security 1.3 offre una protezione alla privacy e prestazioni molto superiori rispetto alle versioni precedenti di TLS e HTTP non protetto. Esso riduce le fasi operative, rendendo di conseguenza più “piacevole” l’esperienza di navigazione per l’utente finale, diminuendo il tempo di caricamento delle pagine web sia per dispositivi mobili che fissi.
Come si può vedere dal grafico, riducendo i passaggi si ottiene una maggiore velocità ed una minore esposizione a possibili fonti d’attacco; l’handshake (ossia il processo attraverso il quale due calcolatori negoziano e stabiliscono le regole comuni, ovvero la velocità, i protocolli di compressione, di criptazione, di controllo degli errori) ne beneficerà in termini altissimi.
- L’update abbandona gli algoritmi crittografici (per la cifratura delle comunicazioni) più vecchi e insicuri come MD5 e SHA-224: questo potrebbe essere il “retro della medaglia” ovvero nel fatto che il nuovo standard elimina alcuni componenti considerati obsoleti: oltre ai già citati, anche Static RSA handshake, CBC MtE modes, RC4 sono alcuni dei protocolli non supportati da Tls1.3 per cui se, per esempio, un vostro sito web effettua autenticazioni con SHA1, questo non funzionerà.
- Adozione di algoritmi più performanti e più sicuri come ChaCha20, Poly1305, Ed25519, x25519 e x448.
- TLS 1.3 è inoltre protetto contro gli attacchi pensati per forzare il downgrade degli algoritmi di protezione
Utilizzo del protocollo TLS
TLS 1.3 verrà implementato nei browser Web più popolari, come Firefox o Chrome, mentre il resto dell’infrastruttura di rete – indispensabile in quanto le comunicazioni di rete tra client e server viaggiano sul web – dovrà necessariamente subire interventi di aggiornamento molto più consistenti. Ecco perché è stata avanzata una richiesta, proveniente da banche e istituti finanziari, di inserire una backdoor nel protocollo 1.3, così da poter rendere compatibili i loro network col processo di decriptazione senza dover effettuare investimenti per aggiornare la loro infrastruttura.
Ricordiamo che una backdoor è una porta di accesso a un sistema informatico che consente a un utente, da remoto, di controllarlo. Alcune backdoor sono progettate da sviluppatori di software e svolgono funzioni utili per gli utenti. Il più delle volte però le backdoor sono più utilizzate per le applicazioni di tipo criminale, ovvero quando vengono create da un hacker per accedere illegalmente al sistema preso di mira.
Tale richiesta, fortunatamente, è stata rispedita subito al mittente, visto che avrebbe reso vano lo sforzo di sviluppare un nuovo standard ben più sicuro e prestante del suo predecessore.
TLS lato Microsoft
A che punto è Microsoft nell’implementazione del nuovo standard nei propri sistemi? Lato browser, Edge è compatibile con lo standard nuovo, così come lato sistema operativi le build 1903, sia client che server, supportano TLS 1.3.
Lato applicativi, on-premises e cloud, invece non abbiamo notizie ufficiali; ad ottobre ci sarà l’eliminazione del supporto a TLS 1.0 e 1.1 per Office 365 e probabilmente alcuni servizi Azure seguiranno lo stesso destino. Dal 2021 ipoteticamente si potrebbe iniziare a vedere qualcosa di nuovo e forse il primo candidato sarà proprio Office 365.
Riguardo invece SQL, attualmente non è supportato, fermandosi alla versione TLS 1.2. La conferma del supporto per TLS 1.3 è comunque nella roadmap e Microsoft condividerà i dettagli appena avrà novità a riguardo.
Nexsys, azienda di consulenza informatica, supporta le aziende e le pubbliche amministrazioni nella gestione sia dell’hardware della propria infrastruttura che del software installato affinché siano sicuri e i protocolli di sicurezza aggiornati, grazie anche ad attività di consulenza cybersecurity e a corsi di formazione Etichal Hacking.