Com que part d'un moviment coordinat entre quatre dels noms més importants en tecnologia, els antics protocols de seguretat TLS 1.0 i 1.1 s'eliminaran en Safari, Edge, Internet Explorer, Firefox i Chrome en 2020.
Apple, Microsoft, Mozilla i Google s'han unit per purgar l'Internet d'aquests protocols antics i defectuosos, observant que la majoria de les persones ara s'han mudat a TLS 1.2, sinó a TLS 1.3.
Tot i que el 94 per cent dels llocs ja són compatibles amb la versió 1.2, Un període de manipulació indeguda durant els propers 18 mesos donarà a tota l'oportunitat de posar-se a el dia.
Els desenvolupadors dels navegadors Firefox, Chrome, Edge i Safari van advertir de la imminent acabament de el suport per als protocols TLS 1.0 i TLS 1.1:
- A Firefox, la compatibilitat amb TLS 1.0 / 1.1 s'interromprà al març de 2020, però aquests protocols es desactivaran abans en les versions de prova i nightly.
- En Chrome, la compatibilitat amb TLS 1.0 / 1.1 s'interromprà a partir de la versió de Google Chrome 81, que s'espera per al gener de 2020.
- Mentre que en la versió de Google Chrome 72, que es llançarà al gener de 2019, a l'obrir llocs amb TLS 1.0 / 1.1, es mostrarà un advertiment especial sobre l'ús de la versió obsoleta de TLS. La configuració que fa possible tornar el suport per TLS 1.0 / 1.1 es mantindrà fins a gener de 2021.
- Al navegador web Safari i el motor WebKit, el suport per TLS 1.0 / 1.1 s'interromprà al març de 2020.
- Mentre que al navegador web Microsoft Edge i Internet Explorer 11, s'espera l'eliminació de TLS 1.0 i TLS 1.1 en la primera meitat de 2020.
L'especificació TLS 1.0 va ser publicada al gener de 1999. Set anys després, es va llançar l'actualització TLS 1.1 amb millores de seguretat relacionades amb la generació de vectors d'inicialització i vectors de farciment incrementals.
Actualment, el Grup de treball d'enginyeria d'Internet (IETF), que està involucrat en el desenvolupament dels protocols i l'arquitectura d'Internet, ja ha publicat un esborrany d'especificació que tradueix els protocols TLS 1.0 / 1.1 en obsolets.
Després 20 anys en el qual segueix en peu és una de les raons per les que s'espera que l'IETF (Grup de treball d'enginyeria d'Internet) desaprove oficialment els protocols a finals d'aquest any, Tot i que encara no s'ha fet cap anunci a la respecte.
La gran majoria dels usuaris i servidors ja utilitzen TLS 1.2+
El percentatge de sol·licituds que utilitzen TLS 1.0 al web és de l'0,4% per als usuaris de Chrome i de l'1% per als usuaris del Firefox.
De el milió de llocs més grans qualificats per Alexa, només el 2% està limitat a TLS 1.0 i a l'0.1% - TLS 1.1.
Segons les estadístiques de Cloudflare, aproximadament el 9,3% de les sol·licituds a través de la xarxa de lliurament de contingut d'aquesta empresa es realitzen amb TLS 1.0. TLS 1.1 s'utilitza en el 0,2% dels casos.
D'acord amb les dades de SSL empresa de serveis de Pols Qualys protocol TLS 1.2 de suport 94% de llocs web, la qual cosa permet ajust de connexió segura.
«Dues dècades és molt de temps perquè una tecnologia de seguretat romangui sense modificacions. Si bé no som conscients de les vulnerabilitats significatives amb les nostres implementacions actualitzades de TLS 1.0 i TLS 1.1, hi ha implementacions de tercers vulnerables », va dir Kyle. Pflug, gerent sènior de programes en Microsoft Edge.
Les dades de Mozilla recopilades mitjançant telemetria en Firefox mostren que només el 1.11% de les connexions segures es van establir mitjançant el protocol TLS 1.0. Per TLS 1.1, aquesta xifra és de 0.09%, per TLS 1.2 - 93.12%, per TLS 1.3 - 5.68%.
Els principals problemes de TLS 1.0 / 1.1 són la manca de suport per als xifrats moderns (per exemple, ECDHE i AEAD) i el requisit d'admetre els xifrats antics, la fiabilitat es qüestiona en l'etapa actual de desenvolupament de l'ordinador (per exemple , el suport per TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA es requereix per verificar).
El suport per a algoritmes heretats ja ha portat a atacs com ara ROBOT, Drown, BEAST, Logjam i FREAK.
No obstant això, aquests problemes no van ser directament vulnerabilitats de protocol i es van tancar en el nivell de les seves implementacions.
Els protocols TLS 1.0 / 1.1 no tenen vulnerabilitats crítiques que poden usar-se per dur a terme atacs pràctics.