Cистема E-poselok переходит на использование TLS 1.2 и HSTS
Данный протокол шифрования соответствует современным стандартам, однако не все браузеры и не все партнерские системы были готовы перейти с TLS 1.0 и 1.1 на TLS 1.2, более того, создаваемые по умолчанию сертификаты нередко формируются также с протоколом TLS 1.1 . Сегодня мы закрываем эту главу и подсистемы e-poselok теперь обрабатывают запросы по API от устройств и программного обеспечения, которое поддерживает TLS1.2 и выше.
Говоря простым языком, протокол используется для формирования ключей и сертификатов, которые в свою очередь поддерживают формирование защищенной передачи данных "внутри" интернета. Чтобы всякие законы-яp0в0й, Р0ск0мнaдзоры и просто одинокие хакеры не могли подсмотреть, какие данные Вы передаете. Визуально наличие шифрования определяется наличием https буковок в адресной строке. Но это не единственное место, где применяется шифрование, ключи и сертификаты. Есть еще невидимый слой взаимодействия API различных систем, без браузера.Там тоже очень важно обеспечить защиту и гарантировать, что различные сервера "общаются" между собой, а не с фейковым фишинговым между ними устройством или специалистами "на проводах".
Как данное нововведение отразится на пользователях, которые, возможно и слов-то таких как TLS, SSL не слышали?
На пользователях - никак! :) Пользователи не заметят разницу, браузеры пользователей автоматически скорее всего и так использовали более современный протокол, потому как стандарт введен достаточно давно и медленный переход на него был связан не столько с проблемами уязвимости предыдущего поколения (хотя можно вспомнить шокировавшую весь ИТ мир уязвимость, вошедшую в историю интернета как "Heartblead"), сколько с необходимостью последовательного обеспечения совместимости. В 2019 году банки, наконец, начали переходить на TLS 1.2 и мы, следуя стандартам отрасли, в 2018 году внедрили, а с января 2019 полностью перешли на новую версию протокола.
А вот партнерским системам необходимо постепенно осовремениваться. Сейчас подключенные к нам системы уже перешли на TLS 1.2 и 1.3, а новым системам, стремящимся к интеграции с E-poselok необходимо будет внедрить в свои модули современный стандарт протокола безопасности.
А еще мы внедрили HSTS - инструмент принудительного использования https протокола. Этот инструмент помогает бороться с т.н. Downgrade-атаками и атаками класса man-in-the-middle. Например, сидите вы в аэропорту, захотели оплатить взносы в свой любимый поселок, а тут и сеть бесплатная нашлась. Подключаетесь. Вроде бы все хорошо, но в этот момент Ваши инструменты авторизации плавно уплывают на компьютер злоумышленника, а браузер переключается с https на http протокол. HSTS - инструмент, который говорит Вашему компьютеру, когда он первый раз заходит в систему e-poselok: Друг, запомни на ближайшие 2 года: никогда, слышишь, никогда не используй незащищенное соединение, даже если какой-то сервер будет уверять тебя в том, что все в порядке. Это классная тактика, эффективная и в целом адекватная. Конечно, это не столько инструменты защиты серверов, сколько подстраховки пользователя от обывательских ошибок. Но будет отлично, если небольшие усовершенствования смогут сберечь нервы нашим партнерам-садоводствам и их жителям.
Стараемся быть лучше, современнее и безопаснее. E-poselok.ru
