Seu site está preparado para a descontinuação do protocolo TLS 1.0 e 1.1?
23/07/20 17:36:53Márcio D’Avila*
Os maiores fabricantes de navegadores de internet (Google, Apple, Microsoft e Mozilla), seguindo uma recomendação do IETF (Internet Engineering Task Force), anunciaram no final do ano passado, que iriam descontinuar os protocolos TLS 1.0 e 1.1 em seus navegadores de internet no início de 2020 por conta de suas vulnerabilidades já conhecidas por hackers. No entanto, devido a pandemia da Covid-19 o encerramento foi adiado, mas nem tanto assim
Recentemente, a Google anunciou que a versão 84 de seu navegador Chrome, que está programada para ser disponibilizada em julho de 2020, não suportará mais as versões 1.0 e 1.1 do protocolo TLS. No mesmo mês, a Microsoft deve lançar o novo Microsoft Edge versão 84 (baseado no Chromium), que também não aceitará esses protocolos, sendo que em todas as versões suportadas do Internet Explorer 11 e Microsoft Edge Legacy (baseado em EdgeHTML) o TLS 1.0 e 1.1 serão desativados por padrão a partir de setembro próximo.
O assunto não é novidade. Desde 30 junho de 2018, por exemplo, o PCI DSS (Payment Card Industry Data Security Standard), padrão de segurança de dados do setor de cartões, não utiliza o TLS 1.0, e recomenda fortemente a desativação do TLS 1.1 e utilização da versão 1.2 ou superior.
O motivo é simples. O tempo. O TLS 1.0 já está em uso há mais de 20 anos e o TLS 1.1 há 14 anos período suficiente para que hackers descobrissem suas vulnerabilidades, como o ataque BEAST (Browser Exploit Against SSL/TLS). Além disso, essas versões utilizam algoritmos criptográficos fracos como MD5 e SHA1, os quais propiciam um ambiente favorável aos ataques do tipo SLOTH (Security Losses from Obsolete and Truncated Transcript Hashes).
Em resumo, se você tem um site que ainda utiliza os protocolos TLS 1.0 e 1.1, a partir de julho deste ano, se o seu cliente/internauta acessar sua página por meio do navegador Chrome, como exemplo, será alertado sobre a falta de segurança. Vale lembrar que independentemente do navegador e alerta de insegurança, o uso dessas versão coloca seu ambiente e internautas na mira de cibercriminosos.
Por isso são fortemente indicadas a atualização e configuração do seu software de servidor web para utilizar as versões mais recentes do protocolo TLS (1.2 ou 1.3 - recomendada); e a desativação dos protocolos antigos e cifras fracas como DES, RC4, MD5 e SHA1.
Complicou? Calma. A configuração ideal de protocolo TLS para o seu site pode ser descoberta por meio das recomendações da Mozilla SSL Configuration Generator, a qual indica a configuração ideal utilizando diferentes perfis de navegadores (Modern ou Intermediate).
A atualização do protocolo de segurança pode parecer algo simples, mas não se engane. Ela deve ser feita com cautela, principalmente para evitar que sistemas, aplicações e serviços web legados parem de funcionar. Por isso, vale uma análise prévia para identificar quais dos seus ambientes, ou se todos, suportam o protocolo TLS 1.2 ou 1.3.
*Márcio D’Avila é consultor técnico e especialista em segurança digital da Certisign.