Zwakke sleutels en verouderd machine-identiteitsbeheer ondermijnen TLSv1.3 adoptie

  1. 30 jun 2022
  2. 0 reacties

Zwakke sleutels en verouderd machine-identiteitsbeheer ondermijnen TLSv1.3 adoptie

Venafi maakt de resultaten bekend van een onderzoek door security- en TLS-expert, Scott Helme. Het crawler rapport, dat gesponsord is door Venafi, evalueert het gebruik van encryptie in de top één miljoen sites in de wereld over de afgelopen zes maanden. Daaruit blijkt onder andere dat er behoefte is aan een oplossing om het beheer van machine-identiteiten in de steeds complexere cloud-omgevingen te automatiseren. Het onderzoek toont aan dat er op enkele gebieden vooruitgang is geboekt, maar dat nog meer voorlichting nodig is om ervoor te zorgen dat machine-identiteiten op de meest doeltreffende wijze worden gebruikt voor het beschermen van de online wereld.

Belangrijke onderzoeksresultaten

  • Het gebruik van TLSv1.2 is de afgelopen zes maanden met 13% gedaald, terwijl v1.3 in gebruik is bij bijna 50% van de onderzochte sites - ruim twee keer zoveel sites als v1.2. De v1.3-adoptie wordt gedreven door digitale transformatie-initiatieven, cloudmigratie en cloud-native stacks die standaard v1.3 gebruiken.
  • Hoewel organisaties sterkere TLS-protocollen invoeren, verzuimen ze dit te koppelen aan een overstap naar sterkere sleutels voor TLS-machine-identiteiten.
  • Industriestandaard ECDSA-sleutels worden nu door slechts 17% van de websites gebruikt - tegenover 14% zes maanden geleden. Langzamere, minder veilige RSA-sleutels worden nog steeds gebruikt door 39% van de top één miljoen websites.
  • De groei in het gebruik van HTTPS heeft zich gestabiliseerd op 72%, hetzelfde als in december.

Let's Encrypt blijft de voorkeur Certificaat Autoriteit (CA) voor de top één miljoen, maar Cloudflare is terrein aan het goedmaken. Deze toename lijkt de drijvende kracht achter de invoering van TLSv1.3 te zijn, waarbij 50% van de websites die v1.3 gebruiken dit via Cloudflare doen. De daling in het gebruik van Extended Validation (EV) certificaten heeft zich ook doorgezet, met een daling van 16% in de laatste zes maanden, na een verandering van browserfabrikanten die de waarde van EV-certificaten voor website-eigenaren drastisch hebben verminderd.

De analyse bevat goed nieuws. Alle data laat zien dat organisaties meer stappen ondernemen om hun machine-identiteitsomgevingen te beheren. Sinds december is er tevens een toename van 13% in het aantal sites dat gebruik maakt van Certificate Authority Authorization (CAA), wat bedrijven in staat stelt een lijst van goedgekeurde CA's op te stellen die binnen hun organisaties gebruikt mogen worden. De adoptie van deze controle is een positief teken dat organisaties zich bewust lijken van het belang van machine-identiteiten voor hun beveiliging en waakzamer zijn in de manier waarop zij deze beheren.

"Het feit dat bedrijven TLS v1.3 implementeren met machine-identiteiten die RSA-sleutels gebruiken, toont aan dat er nog veel vooruitgang te boeken valt met machine-identiteitsmanagement. Een sterk algoritme betekent namelijk weinig als het wordt gebruikt in combinatie met een zwakke sleutel - het is net zoiets als een stenen fort bouwen maar de houten poort onbeschermd laten," legt Scott Helme uit, beveiligingsonderzoeker en oprichter van Report URI. "De adoptie van modernere, efficiëntere en veiligere EDCSA-sleutels is de afgelopen zes maanden verwaarloosbaar geweest. Dit, in combinatie met het feit dat de adoptie van HTTPS de afgelopen zes maanden is gestagneerd, laat zien dat het internet niet veiliger is dan het een half jaar geleden was. Cybercriminelen zijn continu bezig de lat hoger te leggen, dus het is ontmoedigend om te zien dat bedrijven dit voorbeeld niet volgen."

"De recente hausse in cloudmigraties betekent dat elk bedrijf veel meer TLS-machine-identiteiten nodig heeft om alle communicatie tussen apparaten, clouds, software, containers en API's te beveiligen", zegt Kevin Bocek, vice president security strategy and threat intelligence bij Venafi. "Het feit dat steeds meer bedrijven gebruik maken van CAA's is een positief teken dat bedrijven aandacht krijgen voor de noodzaak van machine-identiteitsmanagement. De adoptie van CAA's onderstreept ook de dringende behoefte aan een ‘control plane’ voor machine-identiteitsmanagement, die het gebruik van machine-identiteiten in steeds complexere cloudomgevingen kan automatiseren."

Lees meer over dit onderzoek op: https://www.venafi.com/blog/top-1-million-analysis-june-2022

Lees ook
Driekwart van de Nederlandse bedrijven ziet directie als de belangrijkste voorvechter van beveiliging

Driekwart van de Nederlandse bedrijven ziet directie als de belangrijkste voorvechter van beveiliging

Nieuw onderzoek van Rackspace Technology laat zien wat de impact van de wereldwijde bedreigingen voor de IT-omgeving in de afgelopen vijf jaar is geweest op de relatie tussen IT-beveiligingsteams en directies van organisaties.

DCC Nederland presenteert innovatieve PAM-oplossing van Senhasegura op Cyber Security & Cloud Expo 2022

DCC Nederland, een Value Added Distributeur met oplossingen voor netwerkbeheer en -beveiliging, presenteert tijdens de Cyber Security & Cloud Expo, die plaatsvindt op 20 en 21 september in de RAI te Amsterdam, de innovatieve Privileged Access Management (PAM)-oplossing van Senhasegura. CIO’s, CISO’s en IT-beheerders leren tijdens een informatieve sessie hoe zij hun organisaties kunnen beschermen tegen gegevensdiefstal, onder meer door de handelingen van beheerders te volgen voor netwerken, servers, databases en apparaten.

Waarom verlopen certificaten een groter securityrisico worden?

Waarom verlopen certificaten een groter securityrisico worden?

Spotify-gebruikers hebben dit voorjaar een securityissue ervaren dat ook voor bedrijven een groter risico begint te worden. Ze konden urenlang niet meer naar hun podcasts luisteren omdat een TLS-certificaat van de streamingaanbieder was verlopen. Deze certificaten, 'machine-identiteiten', vormen de basis voor het vertrouwen in de online wereld en1