tls и все, все, все
TRANSCRIPT
![Page 2: TLS и все, все, все](https://reader034.vdocuments.mx/reader034/viewer/2022050801/58ad20961a28ab50728b5bd1/html5/thumbnails/2.jpg)
Вводная Чем шифруем? Ужасы в реальности Перспективы Заключение
Зачем? Не болтай!
Наглядная агитация
TLS/SSL и все, все, все
![Page 3: TLS и все, все, все](https://reader034.vdocuments.mx/reader034/viewer/2022050801/58ad20961a28ab50728b5bd1/html5/thumbnails/3.jpg)
Вводная Чем шифруем? Ужасы в реальности Перспективы Заключение
Зачем? Не болтай!
Наглядная агитация
TLS/SSL и все, все, все
![Page 4: TLS и все, все, все](https://reader034.vdocuments.mx/reader034/viewer/2022050801/58ad20961a28ab50728b5bd1/html5/thumbnails/4.jpg)
Вводная Чем шифруем? Ужасы в реальности Перспективы Заключение
Зачем? Не болтай!
Наглядная агитация
TLS/SSL и все, все, все
![Page 5: TLS и все, все, все](https://reader034.vdocuments.mx/reader034/viewer/2022050801/58ad20961a28ab50728b5bd1/html5/thumbnails/5.jpg)
Вводная Чем шифруем? Ужасы в реальности Перспективы Заключение
Зачем? Не болтай!
Наглядная агитация
TLS/SSL и все, все, все
![Page 6: TLS и все, все, все](https://reader034.vdocuments.mx/reader034/viewer/2022050801/58ad20961a28ab50728b5bd1/html5/thumbnails/6.jpg)
Вводная Чем шифруем? Ужасы в реальности Перспективы Заключение
Зачем? Не болтай!
Наглядная агитация
TLS/SSL и все, все, все
![Page 7: TLS и все, все, все](https://reader034.vdocuments.mx/reader034/viewer/2022050801/58ad20961a28ab50728b5bd1/html5/thumbnails/7.jpg)
Вводная Чем шифруем? Ужасы в реальности Перспективы Заключение
Зачем? Не болтай!
Наглядная агитация
TLS/SSL и все, все, все
![Page 8: TLS и все, все, все](https://reader034.vdocuments.mx/reader034/viewer/2022050801/58ad20961a28ab50728b5bd1/html5/thumbnails/8.jpg)
Вводная Чем шифруем? Ужасы в реальности Перспективы Заключение
Где и чем проверить
I OpenSSL s_clientI ssllabs.com пожалуй самый авторитетный тестI Mozilla Security/Server Side TLS, cipherli.stI testssl.sh очень интересный локальный сканерI Nmap pluginsI ...
TLS/SSL и все, все, все
![Page 9: TLS и все, все, все](https://reader034.vdocuments.mx/reader034/viewer/2022050801/58ad20961a28ab50728b5bd1/html5/thumbnails/9.jpg)
Вводная Чем шифруем? Ужасы в реальности Перспективы Заключение
Не панацея
How Safe is OpenSSL? Part I
TLS/SSL и все, все, все
![Page 10: TLS и все, все, все](https://reader034.vdocuments.mx/reader034/viewer/2022050801/58ad20961a28ab50728b5bd1/html5/thumbnails/10.jpg)
Вводная Чем шифруем? Ужасы в реальности Перспективы Заключение
OpenSSL
I OpenSSLI Наиболее распространён, практически значение по
умолчаниюI Последние годы, сильно критикуется за наличие багов,
“закладок”?
TLS/SSL и все, все, все
![Page 11: TLS и все, все, все](https://reader034.vdocuments.mx/reader034/viewer/2022050801/58ad20961a28ab50728b5bd1/html5/thumbnails/11.jpg)
Вводная Чем шифруем? Ужасы в реальности Перспективы Заключение
GnuTLS
I GnuTLSI Вторая по популярности, после OpenSSL (не конфликтует)I Очень распространена, в производных debian, но хорошо
ли это?I Имеет не совместимый с OpenSSL формат chipset и
“опций”
TLS/SSL и все, все, все
![Page 12: TLS и все, все, все](https://reader034.vdocuments.mx/reader034/viewer/2022050801/58ad20961a28ab50728b5bd1/html5/thumbnails/12.jpg)
Вводная Чем шифруем? Ужасы в реальности Перспективы Заключение
...SSL
I LibreSSL - OpenBSD (релиз цикл связан)I специальное API для tls
I BoringSSL - googleI MatrixSSL - небольшая встраиваемая имплементацияI wolfSSL - для выстраиваемых решенийI mbed TLS (formerly known as PolarSSL)I .... (большинство альтернатив было вызвано большим
количеством ошибок в период Heartbleed Bug)I Mozilla NSS Tools (ужас летящий на крыльях CentOS
OpenLDAP)
TLS/SSL и все, все, все
![Page 13: TLS и все, все, все](https://reader034.vdocuments.mx/reader034/viewer/2022050801/58ad20961a28ab50728b5bd1/html5/thumbnails/13.jpg)
Вводная Чем шифруем? Ужасы в реальности Перспективы Заключение
Сертификаты
I Самоподписные (self signed)I Ну если уж себе не доверять, то кому?I Всё остальное в минусы, сложность поддержки и
интеграцииI Центры авторизации (GlobalSign, Verisign, 沃通免费SSL证书, ...) (Let’s Encrypt)
I Бесплатно выписываются только SSL-сертификаты домена(DV SSL), процедура не очень проста и часто наограниченное время
I Сертификаты SSL - организации (OV SSL) и SSL - высокойнадежности (EV SSL) платные и требуют прохождениянепростой процедуры
I (как вариант по умолчанию) сертификат создаётся сразу ссекретной частью ключа
TLS/SSL и все, все, все
![Page 14: TLS и все, все, все](https://reader034.vdocuments.mx/reader034/viewer/2022050801/58ad20961a28ab50728b5bd1/html5/thumbnails/14.jpg)
Вводная Чем шифруем? Ужасы в реальности Перспективы Заключение
Устаревшие версии
I В сами библиотеки, обновления безопасности, обычнобекпортируются оперативно
I Сложнее, если вам достался сервер, с уже неподдерживаемой системой
I А вот если что то меняется в работе программ (обычно вновых версиях), то ...
I Старое клиентское ПО, вынуждает поддерживатьустаревшие методы (SSL3, TLS1.0, ...)
I Почти никто не поддерживает DNSSSEC, DANE, HPKP(HTTP Public Key Pinning) и подобные технологии
I Большая часть инфраструктуры проверки сертификатовIPv4-only
TLS/SSL и все, все, все
![Page 15: TLS и все, все, все](https://reader034.vdocuments.mx/reader034/viewer/2022050801/58ad20961a28ab50728b5bd1/html5/thumbnails/15.jpg)
Вводная Чем шифруем? Ужасы в реальности Перспективы Заключение
Не полная поддержка
I “Dovecot used to support both GNUTLS and OpenSSLlibraries, but nowadays only the OpenSSL code is working.”
I Exim, при использовании GnuTLS требует дополнительноговнимания к работе с dhparam
I Часто в программах не реализована, установкадополнительных ограничений, через специальныепараметры, а по умолчанию используются не оптимальныезначения
I В dovecot невозможно запретить Secure Client-InitiatedRenegotiation
TLS/SSL и все, все, все
![Page 16: TLS и все, все, все](https://reader034.vdocuments.mx/reader034/viewer/2022050801/58ad20961a28ab50728b5bd1/html5/thumbnails/16.jpg)
Вводная Чем шифруем? Ужасы в реальности Перспективы Заключение
Баги, они везде
I Во вводной, ужедемонстрироваласьвременная шкалауязвимостей и это толькосамые громкие
I Dovecot не подключалсяк ldaps, в сборке CentOS
I imtest cyrus, неподозревает о tls
I Не проверяется OnlineCertificate Status Protocol(OCSP)
TLS/SSL и все, все, все
![Page 17: TLS и все, все, все](https://reader034.vdocuments.mx/reader034/viewer/2022050801/58ad20961a28ab50728b5bd1/html5/thumbnails/17.jpg)
Вводная Чем шифруем? Ужасы в реальности Перспективы Заключение
Перспективы
I Возможно Let’s Encrypt и Certificate Transparency улучшатситуацию, с доступностью и доверием к центрамсертификации
I Внедрение новых стандартов безопасности и отказ отподдержки древних
I http2 (“opportunistic encryption”)I Более широкая поддержка ECDSA, элиптических кривых?
TLS/SSL и все, все, все
![Page 18: TLS и все, все, все](https://reader034.vdocuments.mx/reader034/viewer/2022050801/58ad20961a28ab50728b5bd1/html5/thumbnails/18.jpg)
Вводная Чем шифруем? Ужасы в реальности Перспективы Заключение
Подборка ссылок
При подготовке слайдов, вероятно, использовались материалыдоступные по следующим ссылкам.
I Полезные советы от ssllabs.comI BetterCrypto.orgI Ключи, шифры, сообщения: как работает TLS, Автор:
Александр Венедюхин 04/09/2015I LibreSSL FreeBSD wikiI TLS Certificate Optimization: The Technical Details behind
“No Browser Left Behind”I Free SSL Certificates for Open Source Projects (не пробовал
но вдруг)
TLS/SSL и все, все, все
![Page 19: TLS и все, все, все](https://reader034.vdocuments.mx/reader034/viewer/2022050801/58ad20961a28ab50728b5bd1/html5/thumbnails/19.jpg)
Вводная Чем шифруем? Ужасы в реальности Перспективы Заключение
Вопросы?
Спасибо за внимание!Вопросы? :-)
TLS/SSL и все, все, все