Versterkte forten proberen te beveiligen met houten poorten
Zwakke sleutels en verouderd machine-identiteitsbeheer ondermijnen TLSv1.3 adoptie
4 juli 2022 -
Venafi maakt de resultaten bekend van een onderzoek door security- en TLS-expert, Scott Helme. Het crawler rapport, dat gesponsord is door Venafi, evalueert het gebruik van encryptie in de top één miljoen sites in de wereld over de afgelopen zes maanden. Daaruit blijkt onder andere dat er behoefte is aan een oplossing om het beheer van machine-identiteiten in de steeds complexere cloud-omgevingen te automatiseren.
Het onderzoek toont aan dat er op enkele gebieden vooruitgang is geboekt, maar dat nog meer voorlichting nodig is om ervoor te zorgen dat machine-identiteiten op de meest doeltreffende wijze worden gebruikt voor het beschermen van de online wereld.
Belangrijke onderzoeksresultaten
Het gebruik van TLSv1.2 is de afgelopen zes maanden met dertien procent gedaald, terwijl v1.3 in gebruik is bij bijna 50 procent van de onderzochte sites - ruim twee keer zoveel sites als v1.2. De v1.3-adoptie wordt gedreven door digitale transformatie-initiatieven, cloudmigratie en cloud-native stacks die standaard v1.3 gebruiken.
Hoewel organisaties sterkere TLS-protocollen invoeren, verzuimen ze dit te koppelen aan een overstap naar sterkere sleutels voor TLS-machine-identiteiten.
Industriestandaard ECDSA-sleutels worden nu door slechts zeventien procent van de websites gebruikt - tegenover veertien procent zes maanden geleden. Langzamere, minder veilige RSA-sleutels worden nog steeds gebruikt door 39 procent van de top één miljoen websites.
De groei in het gebruik van HTTPS heeft zich gestabiliseerd op 72 procent, hetzelfde als in december.
Let's Encrypt blijft de voorkeur Certificaat Autoriteit (CA) voor de top één miljoen, maar Cloudflare is terrein aan het goedmaken. Deze toename lijkt de drijvende kracht achter de invoering van TLSv1.3 te zijn, waarbij 50 procent van de websites die v1.3 gebruiken dit via Cloudflare doen. De daling in het gebruik van Extended Validation (EV) certificaten heeft zich ook doorgezet, met een daling van 16 procent in de laatste zes maanden, na een verandering van browserfabrikanten die de waarde van EV-certificaten voor website-eigenaren drastisch hebben verminderd.
Goed nieuws
De analyse bevat goed nieuws. Alle data laat zien dat organisaties meer stappen ondernemen om hun machine-identiteitsomgevingen te beheren. Sinds december is er tevens een toename van 13 procent in het aantal sites dat gebruik maakt van Certificate Authority Authorization (CAA), wat bedrijven in staat stelt een lijst van goedgekeurde CA's op te stellen die binnen hun organisaties gebruikt mogen worden. De adoptie van deze controle is een positief teken dat organisaties zich bewust lijken van het belang van machine-identiteiten voor hun beveiliging en waakzamer zijn in de manier waarop zij deze beheren. "Het feit dat bedrijven TLS v1.3 implementeren met machine-identiteiten die RSA-sleutels gebruiken, toont aan dat er nog veel vooruitgang te boeken valt met machine-identiteitsmanagement. Een sterk algoritme betekent namelijk weinig als het wordt gebruikt in combinatie met een zwakke sleutel - het is net zoiets als een stenen fort bouwen maar de houten poort onbeschermd laten," legt Scott Helme uit, beveiligingsonderzoeker en oprichter van Report URI. "De adoptie van modernere, efficiëntere en veiligere EDCSA-sleutels is de afgelopen zes maanden verwaarloosbaar geweest. Dit, in combinatie met het feit dat de adoptie van HTTPS de afgelopen zes maanden is gestagneerd, laat zien dat het internet niet veiliger is dan het een half jaar geleden was. Cybercriminelen zijn continu bezig de lat hoger te leggen, dus het is ontmoedigend om te zien dat bedrijven dit voorbeeld niet volgen.""De recente hausse in cloudmigraties betekent dat elk bedrijf veel meer TLS-machine-identiteiten nodig heeft om alle communicatie tussen apparaten, clouds, software, containers en API's te beveiligen," zegt Kevin Bocek, vice president security strategy and threat intelligence bij Venafi. "Het feit dat steeds meer bedrijven gebruik maken van CAA's is een positief teken dat bedrijven aandacht krijgen voor de noodzaak van machine-identiteitsmanagement. De adoptie van CAA's onderstreept ook de dringende behoefte aan een ‘control plane’ voor machine-identiteitsmanagement, die het gebruik van machine-identiteiten in steeds complexere cloudomgevingen kan automatiseren."