آژانس NSA آمریکا مدیران سیستم‌ها را به کنارگذاشتن پروتکل‌های قدیمی TLS ترغیب می‌کند

آژانس امنیت ملی ایالات متحده‌ی آمریکا موسوم ‌به NSA به‌تازگی پیشنهاد‌های امنیتی جدیدی در قالب مقاله‌ای منتشر کرده است که در فایل PDF در‌دسترس است. NSA به مدیران سیستم‌ها در آژانس‌های فدرال و نهادهای عالی‌تر اصرار می‌کند استفاده از پروتکل‌‌های قدیمی و منسوخ‌شده‌ی TLS را متوقف کنند.

آژانس امنیت ملی آمریکا صراحتا در این بیانیه می‌گوید: «NSA پیشنهاد می‌کند که صرفا TLS 1.2 و TLS 1.3 استفاده شوند و استفاده از SSL 2.0 ،SSL 3.0 ،TLS 1.0 و TLS 1.1 متوقف شود.» درادامه آژانس امنیت ملی می‌گوید استفاده از رمزنگاری منسوخ‌شده باعث ایجاد احساس امنیت کاذب می‌شود؛ زیرا به‌نظر می‌رسد درصورت استفاده از پروتکل‌های قدیمی، داده‌ها در امنیت به‌سر می‌برند، بااین‌حال حقیقت این است که داده‌ها ایمن نیستند.

آژانس‌ امنیت ملی آمریکا هشدار می‌دهد حتی درصورت استفاده از پروتکل‌های TLS 1.2 و TLS 1.3، آژانس‌ها حواسشان باشد که دو پروتکل مذکور را با پارامترهای رمزنگاری ضعیف همراه نکنند؛ به‌ویژه الگوریتم‌های رمزنگاری ضعیف در TLS 1.2 که به‌عنوان NULL و RC2 و RC4 و DES و IDEA و TDES/3DES تعیین می‌شوند. آژانس امنیت ملی می‌گوید مجموعه رمزنگاری‌های (Cipher Suite) مبتنی‌بر این الگوریتم‌ها نباید به‌کار برده شوند. ظاهرا TLS 1.3 این مجموعه رمزنگارها را حذف می‌کند؛ بااین‌حال سیستم‌هایی که از هر دو پروتکل TLS 1.3 و TLS 1.2 پشتیبانی می‌‌کنند، باید حتما بررسی شوند تا حاوی مجموعه رمزنگارهای منسوخ نباشند.

آژانس امنیت ملی ایالات متحده به‌تازگی فهرستی از ابزارها را روی گیت هاب منتشر کرده است تا به مدیران سیستم‌ها برای شناسایی سیستم‌هایی در شبکه‌ی داخلی شرکت کمک کند که همچنان از نسخه‌های منسوخ‌شده‌ی پروتکل TLS استفاده می‌کنند. مقاله‌ی جدید آژانس امنیت ملی آمریکا که ۵ ژانویه‌ی ۲۰۲۱ (۱۶ دی ۱۳۹۹) منتشر شده، روز گذشته همتای هلندی‌اش، یعنی مرکز ملی امنیت سایبری هلند، بازنشر کرده است. مرکز ملی امنیت سایبری هلند در مقاله‌ای مشابه به آژانس‌های دولتی هلند و شرکت‌های خصوصی این کشور پیشنهاد کرد سراغ استفاده از TLS 1.3 بروند. 

دو مقاله‌ی امنیتی مذکور در حالی متتشر می‌شوند که اواسط سال گذشته‌ی میلادی، مرورگرهای محبوب وب به پشتیبانی از TLS 1.0 و TLS 1.1 خاتمه دادند و دلیل این کار را ملاحظات امنیتی اعلام کردند. مارس ۲۰۲۰ (اسفند ۱۳۹۸ و فروردین ۱۳۹۹) شرکت امنیتی Netcraft در گزارشی مدعی شد حدودا ۸۵۰،۰۰۰ وب‌سایت همچنان به‌منظور رمزنگاری ترافیک HTTPS خود از TLS 1.0 و TLS 1.1 استفاده می‌کنند. ظاهرا از آن زمان تاکنون، تعداد این وب‌سایت‌ها با سرعتی اندک کاهش پیدا کرده است. 

آژانس امنیت ملی ایالات متحده هشدار می‌دهد حملات جدید علیه پروتکل‌های TLS همواره کشف می‌شوند و همین موضوع نشان می‌دهد احتمال حمله به این پروتکل‌ها زیاد است. ازاین‌رو، نهادهای مختلف باید سراغ استفاده از جدیدترین نسخه‌ی TLS بروند تا همیشه یک قدم جلوتر از توانایی‌های هکرهای سودجو باشند و از اطلاعات مهم محافظت کنند.