Chrome 98: nelze potvrdit průchod na TLS 1.0 a 1.1

Chrome 98: nelze potvrdit průchod na TLS 1.0 a 1.1
« kdy: 07. 02. 2022, 11:57:40 »
Ahoj,

po upgrade na chrome a chromium 98 nelze preskocit varovani o starem tls. Mam to chapat, ze dle https://chromestatus.com/feature/5759116003770368 (M-98) to skutecne deaktivovali? Jde to pripadne nejak obejit v ramci chrome (napr. reinstalaci na enterprise verzi, atd.)?
« Poslední změna: 07. 02. 2022, 12:45:11 od Petr Krčmář »


Re:Chrome 98 a tls1/1.1 - jiz nelze potvrdit pruchod skrz stare verze
« Odpověď #1 kdy: 07. 02. 2022, 12:17:03 »
Je toho celkem dost, co už v Chrome nejde bypassnout. Takže na takové věci používám Firefox.
Zdar Max

Re:Chrome 98 a tls1/1.1 - jiz nelze potvrdit pruchod skrz stare verze
« Odpověď #2 kdy: 07. 02. 2022, 12:36:43 »
Je toho celkem dost, co už v Chrome nejde bypassnout. Takže na takové věci používám Firefox.
Zdar Max

To sic, ale jak dlouho to aktualizovany FF bude umet?

Re:Chrome 98: nelze potvrdit průchod na TLS 1.0 a 1.1
« Odpověď #3 kdy: 07. 02. 2022, 12:51:16 »
Je to tak, tyhle protokoly jsou už delší dobu formálně označeny za zastaralé, protože používají slabé hašovací algoritmy MD5 a SHA-1. Byla ukázána celá řada prakticky realizovatelných útoků: Poodle, Beast, Robot a další.

Aktuální verze TLS jsou 1.2 a 1.3, první jmenovaná vyšla už v roce 2008, tedy před čtrnácti lety. Plán na zrušení podpory starších verzí oznámili tvůrci prohlížečů před čtyřmi lety.

Re:Chrome 98: nelze potvrdit průchod na TLS 1.0 a 1.1
« Odpověď #4 kdy: 07. 02. 2022, 12:58:18 »
Firefox už podporu TLS 1.0 a 1.1 dokonce vypnul 10. března 2020 ve verzi 74. Kvůli pandemii ji ale zase dočasně zapnul, aby se uživatelé neměli problém dostat na weby s důležitými informacemi, které ještě nepodporují novější šifrovací protokoly. Je tedy jisté, že podpora starších TLS bude zase vypnuta.


Re:Chrome 98: nelze potvrdit průchod na TLS 1.0 a 1.1
« Odpověď #5 kdy: 07. 02. 2022, 13:13:36 »
Pokud potřebujete přístup k nějakým starým systémům, nejlepší možnost je předřadit jim reverzní proxy, která bude terminovat TLS a na druhou stranu bude komunikovat s původním serverem třeba dálnopisem. Pak je dobré ještě zajistit, aby ten původní server nebyl dostupný odkudkoli, ale jen z toho reverzního proxy serveru, a aby trasa mezi reverzním proxy serverem a původním serverem byla zabezpečená jinak, než přes to zastaralé TLS (třeba tak, že jsou oba servery v jedné serverovně propojené přímo kabelem nebo přes jeden switch a nejde ta komunikace přes půl světa).

Pokoušet se snižovat bezpečnost na straně prohlížeče není dobrý nápad.

Re:Chrome 98: nelze potvrdit průchod na TLS 1.0 a 1.1
« Odpověď #6 kdy: 07. 02. 2022, 13:51:14 »
Firefox už podporu TLS 1.0 a 1.1 dokonce vypnul 10. března 2020 ve verzi 74. Kvůli pandemii ji ale zase dočasně zapnul, aby se uživatelé neměli problém dostat na weby s důležitými informacemi, které ještě nepodporují novější šifrovací protokoly. Je tedy jisté, že podpora starších TLS bude zase vypnuta.

To ja vim. Ten termin byl i docela jasne oznamen. Ale tady v pripade Chrome clovek ani nenajde info, ze doslo k tomu vypnuti, v release notes o tom neni ani slovo.

Re:Chrome 98: nelze potvrdit průchod na TLS 1.0 a 1.1
« Odpověď #7 kdy: 07. 02. 2022, 13:53:10 »
Pokud potřebujete přístup k nějakým starým systémům, nejlepší možnost je předřadit jim reverzní proxy, která bude terminovat TLS a na druhou stranu bude komunikovat s původním serverem třeba dálnopisem. Pak je dobré ještě zajistit, aby ten původní server nebyl dostupný odkudkoli, ale jen z toho reverzního proxy serveru, a aby trasa mezi reverzním proxy serverem a původním serverem byla zabezpečená jinak, než přes to zastaralé TLS (třeba tak, že jsou oba servery v jedné serverovně propojené přímo kabelem nebo přes jeden switch a nejde ta komunikace přes půl světa).

Pokoušet se snižovat bezpečnost na straně prohlížeče není dobrý nápad.

Jasne, predradim pred kazdy ILO/switch/hypervizor HW proxy. Kam na takoveto napady chodite?

rmrf

Re:Chrome 98: nelze potvrdit průchod na TLS 1.0 a 1.1
« Odpověď #8 kdy: 07. 02. 2022, 14:19:27 »
Tak buď musíte dosáhnout toho, aby to koncové zařízení začalo fungovat s novými protokoly nebo s ním musíte komunikovat po těch protokolech, které umí. Pokud to zařízení nejde nějak upgradnout, musíte se přizpůsobit vy. Takže buď udržovat nějaký funkční prohlížeč a nebo mít něco mezi novým prohlížečem a starým koncovým zařízením. Ta proxy může být i na vašem počítači.

Re:Chrome 98: nelze potvrdit průchod na TLS 1.0 a 1.1
« Odpověď #9 kdy: 07. 02. 2022, 14:42:36 »

Re:Chrome 98: nelze potvrdit průchod na TLS 1.0 a 1.1
« Odpověď #10 kdy: 07. 02. 2022, 15:32:05 »
Jasne, predradim pred kazdy ILO/switch/hypervizor HW proxy. Kam na takoveto napady chodite?
Když si libujete v nezabezpečené komunikaci, můžete mít jednu proxy na svém počítači. Kam vy chodíte na nápady přistupovat k ILO / administraci switche / hypervizoru děravým protokolem, to mne nezajímá, protože šílené nápady k ničemu nepotřebuju.

_Jenda

  • *****
  • 1 550
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Chrome 98: nelze potvrdit průchod na TLS 1.0 a 1.1
« Odpověď #11 kdy: 07. 02. 2022, 18:42:22 »
Jasne, predradim pred kazdy ILO/switch/hypervizor HW proxy. Kam na takoveto napady chodite?
Jak jsi tohle z jeho příspěvku vyčetl? Si pusť socat na tom stejném počítači co spouštíš to Chrome. Připojení k administraci jsi měl doufám nějak zabezpečené už předtím, protože ty díry tam byly neuvěřitelné, lhostejno jaké TLS to používalo -- některé serverovny přímo poskytují VPN přístup do sítě do které si můžeš management připojit, případně pokud máš víc serverů, tak je to jasné. Ostatně i pokud nemáš -- asi těžko budeš na managementy „plýtvat“ veřejnými adresami (a nepředpokládám že by to umělo IPv6, když to neumí 10 let staré TLS).

CPU

  • *****
  • 613
    • Zobrazit profil
    • E-mail
Re:Chrome 98: nelze potvrdit průchod na TLS 1.0 a 1.1
« Odpověď #12 kdy: 07. 02. 2022, 18:47:49 »

Vaše jednání je poněkud ohavné, kde se to ve vás bere?

Předně, rozhraní jako ILO a další management záležitosti se strkají do separátních VLAN.
Je běžné, že do takové VLANy má přístup jen pár (slovy: třeba dva) počítače z celé firmy. Bezpečnostní riziko cca 0.
Dále, tohle je naprosto validní požadavek, protože takových starých tentononců budou žít hromady příštích deset let.
A pokud jejich webovou správu uvězníte v separátních VLAN, ničemu to nebude vadit.

@TAZATEL
Doporučuji si nainstalovat historickou verzi prohlížeče, který budete používat čistě pro tyto účely. Nejlépe si sehnat celou portable instalaci. Inspirujte se prosím třeba zde: https://portableapps.com/apps/internet

Re:Chrome 98: nelze potvrdit průchod na TLS 1.0 a 1.1
« Odpověď #13 kdy: 07. 02. 2022, 19:06:19 »
Vaše jednání je poněkud ohavné, kde se to ve vás bere?
Ohavné? Já jsem popsal ideální řešení a czechsys se do mně akorát naváží, překrucuje to a žádné řešení nenabízí. To je ohavné.

Předně, rozhraní jako ILO a další management záležitosti se strkají do separátních VLAN.
Je běžné, že do takové VLANy má přístup jen pár (slovy: třeba dva) počítače z celé firmy. Bezpečnostní riziko cca 0.
A je opravdu tak velký problém do té VLANy přidat jeden proxy server? Jinak ono nejde jenom o to, kolik počítačů má do té VLANy přístup, ale také o to, kam jinam mají ty počítače přístup.

Podobné je to s jinými přístupy – pokud k administraci přistupujete přes VPN, můžete ten proxy server dát na nebo vedle VPN koncentrátoru.

Dále, tohle je naprosto validní požadavek, protože takových starých tentononců budou žít hromady příštích deset let.
A pokud jejich webovou správu uvězníte v separátních VLAN, ničemu to nebude vadit.
Je to validní požadavek a já jsem napsal jednoduché řešení takového požadavku. To „uvěznění“ v separátních VLAN samozřejmě neodstraní všechna rizika – v té separátní VLAN máte webový prohlížeč, který možná může i jinam, než do té VLAN. Máte tam spoustu neaktualizovaných zařízení.

Pokud té VLAN tolik věříte, tak přece můžete použít nešifrované HTTP – to prohlížeče podporují a (bohužel) ještě hodně dlouho podporovat budou.

Doporučuji si nainstalovat historickou verzi prohlížeče, který budete používat čistě pro tyto účely. Nejlépe si sehnat celou portable instalaci.
Jasně, vždyť administrace IT infrastruktury je něco nepodstatného, je super na to používat starý děravý software.

Já nevím, já administrační rozhraní považuju za něco, co je potřeba zabezpečit co nejlépe. Ne něco, co se pokusím zavřít do nějaké dřevěné ohrady a uvnitř pak budu na bezpečnost kašlat mnohem víc, než venku.

jvb

Re:Chrome 98: nelze potvrdit průchod na TLS 1.0 a 1.1
« Odpověď #14 kdy: 08. 02. 2022, 08:51:30 »
Kód: [Vybrat]
thisisunsafe