Inleiding
Dit document beschrijft de reden waarom Transport Layer Security (TLS) versie 1.0 automatisch wordt uitgeschakeld door AsyncOS na upgrades.
Waarom schakelt Cisco TLS versie 1.0 uit na een AsyncOS-upgrade?
Cisco introduceerde TLSv1.1 en v1.2 functionaliteit sinds AsyncOS 9.5 releases. Voorheen werd TLSv1.0 ingeschakeld na upgrades voor omgevingen waarvoor de oudere protocollen nodig waren, maar Cisco heeft sterk aangeraden om over te stappen op TLSv1.2 als standaardprotocol voor de beveiligde e-mailomgeving.
Vanaf de release van Cisco AsyncOS 13.5.1 en daarna, wordt TLS versie 1.0 automatisch uitgeschakeld bij een upgrade per Cisco-beveiligingsbeleid om de risico's voor de beveiligde e-mailgebruikers van Cisco te verminderen.
Dit werd eerder beschreven in de opmerkingen bij de release voor 13.5.1 GD (Releaseopmerkingen)
Er wordt ook een waarschuwingsbericht weergegeven in de WebUI- en opdrachtregel (CLI) bij het upgraden naar een versie van een versie na 13.5.1-release:
After you upgrade to AsyncOS 13.5.1 and later, TLS v1.1 and v1.2 is enabled by default. - You cannot use TLS v1.0 in FIPS mode. - The appliance disables TLS v1.0 in non-FIPS mode after the upgrade but you can re-enable it if required.
Waarschuwing: het inschakelen van TLSv1.0 stelt uw omgeving bloot aan mogelijke beveiligingsrisico's en kwetsbaarheden. Cisco raadt het gebruik van de beschikbare TLSv1.2 en hoge algoritmen ten zeerste aan om beveiligde gegevensoverdracht te waarborgen.
Op dit moment, zoals bij AsyncOS 15.0, stelt Cisco Secure Email AsyncOS systeembeheerders in staat om TLSv1.0 opnieuw in te schakelen na een upgrade op eigen risico vanwege de potentiële beveiligingsrisico's die worden gevormd door de oudere versie 1.0-protocollen.
Deze flexibiliteit die wordt aangeboden is onderhevig aan wijzigingen bij latere releases om de optie te verwijderen om TLSv1.0 te gebruiken in latere releases.
Beveiligingsrisico's en kwetsbaarheden met TLSv1.0:
SSLv3.0/TLSv1.0 Protocol Weak CBC Mode Server Side Vulnerability (BEAST)
SSL/TLSv1.0 CRIME-kwetsbaarheid
Gerelateerde informatie