Força o sistema TLS 1.2 para todas as aplicações?

1

A organização para a qual trabalho tem muitos servidores que executam o Linux.

Recentemente, recebemos a tarefa de garantir que o TLS 1.2 seja usado em todas as conexões de saída de todos os nossos aplicativos, independentemente da plataforma de desenvolvimento em que nossos aplicativos são escritos, o que varia um pouco (Ruby / Node / Java / PHP)

Existe uma maneira no nível do sistema para forçar tudo a usar o TLS 1.2?

    
por Brad Parks 31.01.2018 / 18:10

2 respostas

3

Em todo o sistema? Não, porque não há nenhuma configuração TLS centralizada no Linux (intencionalmente), e além disso você provavelmente tem pelo menos duas implementações TLS em cada sistema (OpenSSL ou LibreSSL, com certeza, e muito provavelmente o GnuTLS também).

Auditar tudo é, infelizmente, a única opção real aqui. No entanto, depois de auditar as coisas para uma determinada plataforma de desenvolvimento, deve ser realmente fácil verificar outros aplicativos nessa plataforma (porque agora você sabe como é uma sequência de instalação da conexão em funcionamento).

    
por 31.01.2018 / 21:49
0

Considerando uma conexão específica com um serviço específico, você provavelmente poderia configurar algo para garantir que qualquer coisa abaixo de TLSv1.2 seja rejeitada.

Mas você não pode fazer isso em um nível de sistema. Apenas não se aplica em sistemas genéricos (desktops, servidores, etc). Cada pedaço de código que se conecta a um serviço TLS pode usar uma das várias bibliotecas compartilhadas no sistema, pode usar sua própria biblioteca compartilhada, pode usar estaticamente vinculado ou compilado em código, etc.

No entanto, se você também tiver a tarefa de garantir que seus servidores aceitarão apenas conexões TLSv1.2, certamente poderá fazer isso, já que você controla todos os endpoints do seu serviço, normalmente servidores da Web:

por 19.02.2018 / 18:48