Microsoft Alerta: Windows desativará o TLS inseguro em breve!

microsoft-corrige-falha-em-atualizacao-de-seguranca-do-windows-10

A Microsoft está lembrabdo aos usuários que os protocolos inseguros Transport Layer Security (TLS) 1.0 e 1.1 serão desativados em breve em versões futuras do Windows. A especificação TLS 1.0 original e seu sucessor TLS 1.1 têm sido usados há quase duas décadas, com o TLS 1.0 introduzido inicialmente em 1999 e o TLS 1.1 em 2006.

Windows desativará o TLS inseguro

Esse protocolo foi criado para proteger os usuários contra espionagem, adulteração e falsificação de mensagens durante a troca e acesso de informações pela Internet por meio de aplicativos cliente/servidor.

Após extensas discussões e o desenvolvimento de 28 rascunhos de protocolo, a Força-Tarefa de Engenharia da Internet (IETF) aprovou em março de 2018 a próxima versão principal do protocolo TLS, o TLS 1.3.

Esta mudança se aplica apenas a futuros novos sistemas operacionais Windows, tanto edições de cliente quanto de servidor. As versões do Windows que já foram lançadas não serão afetadas por esta mudança.

Microsoft
microsoft-alerta-windows-desativara-o-tls-inseguro-em-breve

As compilações do Windows 11 Insider Preview a partir de setembro de 2023 terão as versões 1.0 e 1.1 do TLS desabilitadas por padrão. Há uma opção para reativar o TLS 1.0 ou TLS 1.1 para usuários que precisam manter a compatibilidade.

Espera-se que a transição tenha um impacto mínimo nos usuários domésticos do Windows, com problemas previstos limitados. No entanto, os administradores empresariais são aconselhados a realizar testes para identificar e posteriormente atualizar ou substituir quaisquer aplicativos afetados. Os aplicativos que encontrarem problemas ou falharem após a desativação de versões desatualizadas do TLS serão marcados usando o evento 36871 no log de eventos do Windows.

Embora a opção de reativar o TLS inseguro por meio do Registro do Windows ainda esteja disponível, isso só deve ser feito como um último esforço até que aplicativos incompatíveis possam ser atualizados ou substituídos. Também é importante observar que a Microsoft alertou que o suporte para essas versões TLS pode ser completamente removido.

Longe de protocolos de criptografia de tráfego desatualizados

Uma declaração conjunta da Microsoft, Google, Apple e Mozilla em outubro de 2018, anunciaram planos para começar a eliminar protocolos TLS inseguros, com o processo previsto para começar durante o primeiro semestre de 2020. Em agosto de 2020, a Microsoft ativou o TLS 1.3 por padrão nas compilações do Windows 10 Insider.

A NSA também forneceu orientações em janeiro de 2021 sobre a identificação e substituição de versões e configurações desatualizadas do protocolo TLS por alternativas modernas e seguras.

Configurações obsoletas fornecem aos adversários acesso a tráfego operacional sensível usando uma variedade de técnicas, como descriptografia passiva e modificação de tráfego por meio de ataques man-in-the-middle.

Os invasores podem explorar configurações desatualizadas do protocolo Transport Layer Security (TLS) para obter acesso a dados confidenciais com muito poucas habilidades necessárias.

NSA
Via: Bleeping Computer