Como част от координирано движение сред четири от най-големите имена в технологиите, старите протоколи за сигурност TLS 1.0 и 1.1 ще бъдат премахнати в Safari, Edge, Internet Explorer, Firefox и Chrome през 2020 г.
Apple, Microsoft, Mozilla и Google се обединиха, за да прочистят интернет от тези стари и дефектни протоколи, отбелязвайки, че повечето хора вече са преминали към TLS 1.2, ако не и TLS 1.3.
Въпреки че 94 процента от сайтовете вече са съвместими с версия 1.2, период на подправяне през следващите 18 месеца ще даде шанс на всеки да навакса.
Разработчиците на браузърите Firefox, Chrome, Edge и Safari предупредиха за предстоящото прекратяване на поддръжката на протоколите TLS 1.0 и TLS 1.1:
- Във Firefox поддръжката на TLS 1.0 / 1.1 ще бъде прекратена през март 2020 г., но тези протоколи ще бъдат деактивирани по-рано в пробни и нощни версии.
- В Chrome поддръжката на TLS 1.0 / 1.1 ще бъде прекратена от Google Chrome версия 81, която се очаква през януари 2020 г.
- Докато в Google Chrome версия 72, която ще излезе през януари 2019 г., при отваряне на сайтове с TLS 1.0 / 1.1, ще се покаже специално предупреждение за използването на остарялата версия на TLS. Настройките, които правят възможно връщането на поддръжка за TLS 1.0 / 1.1, ще останат до януари 2021 г.
- В уеб браузъра Safari и механизма WebKit поддръжката на TLS 1.0 / 1.1 ще бъде прекратена през март 2020 г.
- Докато в уеб браузъра Microsoft Edge и Internet Explorer 11, премахването на TLS 1.0 и TLS 1.1 се очаква през първата половина на 2020 г.
Спецификацията на TLS 1.0 беше пусната през януари 1999 г. Седем години по-късно актуализацията на TLS 1.1 беше пусната с подобрения в защитата, свързани с генерирането на вектори за инициализация и инкрементални вектори за подплата.
В момента Работната група за интернет инженерство (IETF), която участва в разработването на интернет протоколи и архитектура, Той вече публикува проект на спецификация, който прави протоколите TLS 1.0 / 1.1 остарели.
След 20 години, в които все още стои, е една от причините IETF да се очаква (Работна група за интернет инженерство) официално оттеглят протоколите по-късно тази година, въпреки че все още не е направено съобщение.
По-голямата част от потребителите и сървърите вече използват TLS 1.2+
Процентът на заявките, използващи TLS 1.0 в мрежата, е 0,4% за потребители на Chrome и 1% за потребители на Firefox.
От 2 милион най-големи сайтове, оценени от Alexa, само 1.0% са ограничени до TLS 0.1 и 1.1% - TLS XNUMX.
Според статистиката на Cloudflare, приблизително 9,3% от заявките през мрежата за доставка на съдържание на Cloudflare са направени с помощта на TLS 1.0. TLS 1.1 се използва в 0,2% от случаите.
Според SSL компанията за услуги за данни Pulse Qualys TLS 1.2 поддържа 94% от уебсайтовете, позволявайки настройка за сигурна връзка.
„Две десетилетия са много време технологията за безопасност да остане непроменена. Въпреки че не сме наясно със значителни уязвимости с нашите актуализирани внедрения на TLS 1.0 и TLS 1.1, има уязвими внедрения на трети страни “, каза Кайл. Pflug, старши мениджър на програми в Microsoft Edge.
Данни на Mozilla, събрани чрез телеметрия на Firefox показва, че само 1.11% от защитени връзки са установени с помощта на протокола TLS 1.0. За TLS 1.1 тази цифра е 0.09%, за TLS 1.2 - 93.12%, за TLS 1.3 - 5.68%.
Основните проблеми с TLS 1.0 / 1.1 са липсата на поддръжка за съвременни шифри (напр. ECDHE и AEAD) и изискването за поддръжка на стари шифри, надеждността на които се поставя под въпрос на текущия етап от компютърното развитие (напр. Поддръжката за TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA е изисква се за проверка).
Поддръжката на наследени алгоритми вече доведе до атаки като ROBOT, DROWN, BEAST, Logjam и FREAK.
Тези проблеми обаче не бяха директно уязвимости на протокола и бяха затворени на нивото на техните имплементации.
Протоколите TLS 1.0 / 1.1 нямат критични уязвимости, които могат да се използват за извършване на практически атаки.