Microsoft хоче змусити своїх корпоративних клієнтів перейти на останню версію протоколу TLS (Transport Layer Security).

Windows Server

Пізніше цього літа він додасть підтримку TLS 1.2 до Windows Server 2008. Причиною є необхідність вдосконалення безпеки, яка часто застоюється на протоколі TLS 1.0, який існує два десятки років, захист якого недостатній. Інструкції безпосередньо від виробника допоможуть припинити підтримку на платформі Windows.

Підтримка TLS 1.0 буде припинена якомога швидше

Microsoft заявляє, що її клієнти повинні якомога швидше перейти з TLS 1.0 на TLS 1.2. Це не лише заохотить їх до цього, але особливо змусить обмежити підтримку TLS 1.0 і TLS 1.1 у поточних продуктах. Поточна версія TLS 1.2 датується 2008 роком, і TLS 1.3 все ще наближається до свого розширення в програмних продуктах.

Підтримка старого SSLv3 була ліквідована після інцидентів із безпекою, але більшість (не тільки корпоративних) систем все ще підтримують і використовують старі вразливі протоколи. Наприклад, TLS 1.0 загрожує вразливості POODLE.

Намір Microsoft ускладнюється відсутністю підтримки TLS 1.2 у старих продуктах. Це стосується конкретних ОС Windows Vista, Windows 7 і Windows Server 2008. Vista і WS 2008 взагалі не підтримують TLS 1.2; його підтримка лише у Windows 7 та WS 2008 R2 (де це не ввімкнено).

Підтримка SSL та TLS у Windows та Windows Server

З огляду вищенаведених версій SSL/TLS ясно, що допомога TLS 1.2 повинна бути додана до Windows Server 2008. У Windows Server 2012 та пізніших версіях підтримка TLS 1.2 увімкнена за замовчуванням.

Цього року Windows Server 2008 отримає підтримку TLS 1.2

З попереднього пункту, основною проблемою є відсутність підтримки TLS 1.2 у Windows Server 2008. Сьогодні старіший Windows Server 2008 підтримується лише як частина розширеної підтримки, яка закінчується у 2020 році; однак він все ще використовується. Розширена підтримка означає, що Microsoft виправить помилки та уразливості до кінця процесу, але не буде розробляти функції продукту.

Тим не менше, Windows Server 2008 отримає оновлення TLS 1.2 як частину оновлення. Його користувачі зможуть використовувати найсучасніший протокол TLS замість старого TLS 1.0. Однак адміністраторам серверів слід розглянути можливість оновлення до Windows Server 2012 або Windows Server 2016, щоб допомогти їм краще використовувати сертифікати SSL у IIS із значно меншими зусиллями. Найбільша відмінність - це підтримка SNI та припинення необхідності використовувати IP-адресу для кожного окремого сертифіката SSL.

Microsoft допоможе з переходом

Корпорація Майкрософт усвідомлює, що припинити підтримку протоколу, який настільки поширений, важко. Вирішення TLS 1.0 - це проблема, яка допомагає адміністраторам полегшити перехід від TLS 1.0.

Автор: Інж. Петро Томащик - фахівець із сертифікатів SSL безпеки, www.sslmarket.sk

Ця стаття також була опублікована у вересневому вересневому номері TOUCHIT №. 9/2017, тому деякі факти, викладені в статті, можуть відрізнятися від поточної дати публікації.