A Agência de Segurança Nacional (NSA) dos Estados Unidos emitiu diretrizes para TLS (Transport Layer Security) com várias falhas nos protocolos e autenticação. A NSA é responsável por coletar e processar sinais criptografados estrangeiros, entendê-los e compartilhá-los com autoridades americanas, para que possam adotar ações contra atos classificados como “duvidosos”. Esses sinais não são compreensíveis por pessoas comuns. A NSA mantém uma equipe de matemáticos, especialistas técnicos e analistas para decodificar os sinais criptografados em um formato compreensível.
A agência de inteligência americana está recomendando claramente a substituição da configuração de protocolos antiquados de TLS, obsoletos, por colocarem em risco as informações confidenciais dos usuários. Com o tempo, novas dimensões deletérias da autenticação e configuração TLS foram descobertas pela NSA. Essas falhas não são aceitáveis, pois violam a “parede˜ de privacidade entre o cliente e o servidor, incapacitando os dados criptografados que são facilmente acessíveis pelos hackers.
A troca de comunicação entre o servidor e o cliente consiste em informações sensíveis e dados valiosos que precisam de proteção e, para isso, fortes canais de proteção e sistemas eletrônicos como TLS e Secure Sockets Layer (SSL) foram desenvolvidos. O TLS é um protocolo para proteger a comunicação entre o cliente e o servidor. Ele usa sinais criptografados e autenticação para proteger as informações. No entanto, recentemente, alguns novos ataques contra o TLS e sua autenticação foram descobertos. As conexões de rede que empregam protocolos obsoletos correm risco elevado de exploração por cibercriminosos.
Veja isso
Por que ter um certificado SSL / TLS
Novos certificados SSL/TLS vencerão em 397 dias
Para o caso acima mencionado, a NSA emitiu diretrizes rígidas que precisam ser aplicadas o mais rápido possível. Ela alega que a implementação do protocolo TLS obsoleto e incapacitado foi observada recentemente, o que é uma ameaça à inteligência do país. Além disso, afirma, “hackers apoiados por Estados-nação, com recursos suficientes, são capazes de explorar essas comunicações fracas”.
Como solução, a NSA recomenda que apenas TLS 1.2 e TLS 1.3 devem ser usados e que SSL 2.O, SSL 3.0, TLS 1.0 e YLS 1.1 não devem ser usados. Ela diz que todas as implementações de TLS devem estar atualizadas e a configuração estar de acordo com as diretrizes do CNSS (Committee on National Security Systems) e do NIST (National Institute of Standards and Technology).
A NSA exorta todos a seguirem as diretrizes e implementar o novo protocolo TLS, pois as consequências do uso de criptografias obsoletas podem ser graves, o que inclui uma falsa sensação de segurança devido a confiança que se tem no funcionamento do sistema. No entanto, atualizar os protocolos e a configuração TLS é importante para se ter criptografia e autenticação mais fortes, alerta a agência.