Новость от: 22/04/2016.

Уязвимость в TLS1.0! Вот и все! Пришел конец задумкам что уязвим только SSL! Но нет! Andromeda Cloud, inc - на своей практике доказывает, что использование TLSv1.0 - Открывает ряды уязвимостей на серверах!
Сегодня, мы Вам ознакомим с несколько недостатками TLSv1.0 и объясним, зачем все-же необходимо отказываться от протокола TLSv1.0.
Во первых, низкий скорость работы и обработки данных.
Во вторых, некорректно слушается протоколу по оптимизации соединения между сетью и пользователем (DH) Диффи Хелмана.
3, Хорошая фича для хакеров.
Мы все знаем что DDoS ботнеты отлично справятся с нагрузкой на HTTP сайты. Но ботнеты - очень сложно соединяются с сайтами одерживающий протокол HTTPS/TLS.
Но, TLSv1.0 - дает возможность ботнетам подключиться к серверам и продолжать DDoS даже на сайты работающие по протоколу https.
Отключение TLSv1.0 - приведет к тому, что ботнеты не только перестанут создавать нагрузку на Ваши сервера, но и даже не смогут установить соединение с ним. Это приведет к тому, что сервер станет абсолютно неуязвимым. Мы уже отключили на наших серверах TLSv1.0 однако, отключение TLSv1.0 приведет к тому, что многие браузеры и телефоны просто на просто, не смогут соединяться с Вашим сайтом. Что-же... Мы стоим перед выбором. Пожертвовать трафиком ради безопасности, или пожертвовать безопасностью ради трафика. Согласитесь, очень сложный выбор. Но наши специалисты приняли вариант по лучше. Задание такова:
Заставить NGINX, слушать TLSv1.0 запросам от определенного хоста.
Заставить APACHE2 обработать TLSv1.0 запросы только для определенных IP адресах.
Заставить HTTPD2 серверу конвертировать TLSv1.0 запросы в TLSv2, и обратно.
Задача сложная правда, на что мы и потратили много времени.
Теперь мы установили соединение с CloudFlare. Что это нам дает?
Наш сервер, получает TLSv1.0 запросы от CloudFlare - конвертирует их в TLSv2 и принимает в NGINX и APACHE. Ну и обратно отправляя TLSv2 запрос конвертирует на TLSv1.0 и отправляет на сервера CloudFlare что и образует безопасность данных Ваших пользователей и безопасность серверов, повышая скорость соединения между сетевыми шлюзами и в конце-концов полностью останавливает DDoS ботнет любого уровня на протокол HTTPS.
Тут возникает вопрос. А что если хакерам удается создавать ботнет для совершения атак на TLSv2 сервер? - Ответ: Мы не отвергаем что такое в будущем возможно, но и уверяем Вас, что создать соединение с TLSv1.1 и TLSv2 - это очень сложная процедура, который потребует больше ресурсных возможностей ботнета. Т.е. - Если злоумышленник и создает ботнет для забивания канала связи протокола TLSv2 - то он все-ровно не сможет создавать нагрузку больше чем 5 - 10000 запросов в секунду. А фильтрация 10000 запросов в секунду для фаерволла от нашей компании - это как лепить снежки их снега. ;)
Присоединяйтесь к Andromeda Cloud, inc. (☁AC™) уже сегодня, чтобы получить хороший доход от своего сайта, или онлайн бизнеса, - спокойно спав по ночам. А не как многие вебмастера, которые уже забыли что такое "сон" из-за многократных атак злоумышленников.
Добро пожаловать в (☁AC™)! =)