Comme fait partie d'un mouvement coordonné parmi quatre des plus grands noms de la technologie, les anciens protocoles de sécurité TLS 1.0 et 1.1 seront supprimés dans Safari, Edge, Internet Explorer, Firefox et Chrome en 2020.
Apple, Microsoft, Mozilla et Google se sont associés pour purger Internet de ces protocoles anciens et défectueux, notant que la plupart des gens sont maintenant passés à TLS 1.2, sinon TLS 1.3.
Bien que 94% des sites soient déjà compatibles avec la version 1.2, une période de falsification au cours des 18 prochains mois donnera à chacun une chance de se rattraper.
Les développeurs des navigateurs Firefox, Chrome, Edge et Safari ont mis en garde contre l'arrêt imminent du support des protocoles TLS 1.0 et TLS 1.1:
- Dans Firefox, la prise en charge de TLS 1.0 / 1.1 sera interrompue en mars 2020, mais ces protocoles seront désactivés plus tôt dans les versions d'essai et de nuit.
- Dans Chrome, la prise en charge de TLS 1.0 / 1.1 sera interrompue à partir de la version 81 de Google Chrome, prévue pour janvier 2020.
- Dans la version 72 de Google Chrome, qui sortira en janvier 2019, lors de l'ouverture de sites avec TLS 1.0 / 1.1, un avertissement spécial concernant l'utilisation de la version obsolète de TLS sera affiché. Les paramètres permettant de rétablir la prise en charge de TLS 1.0 / 1.1 resteront jusqu'en janvier 2021.
- Dans le navigateur Web Safari et le moteur WebKit, la prise en charge de TLS 1.0 / 1.1 sera interrompue en mars 2020.
- Dans le navigateur Web Microsoft Edge et Internet Explorer 11, la suppression de TLS 1.0 et TLS 1.1 est attendue au premier semestre 2020.
La spécification TLS 1.0 a été publiée en janvier 1999. Sept ans plus tard, la mise à jour TLS 1.1 a été publiée avec des améliorations de sécurité liées à la génération de vecteurs d'initialisation et de vecteurs de remplissage incrémentiels.
Actuellement, l'IETF (Internet Engineering Task Force), qui participe au développement des protocoles et de l'architecture Internet, Il a déjà publié un projet de spécification qui rend les protocoles TLS 1.0 / 1.1 obsolètes.
Après 20 ans au cours desquels il est toujours debout est l'une des raisons pour lesquelles l'IETF devrait (Groupe de travail sur l'ingénierie Internet) déprécier officiellement les protocoles plus tard cette année, bien qu'aucune annonce n'ait encore été faite.
La grande majorité des utilisateurs et des serveurs utilisent déjà TLS 1.2+
Le pourcentage de demandes utilisant TLS 1.0 sur le Web est de 0,4% pour les utilisateurs de Chrome et de 1% pour les utilisateurs de Firefox.
Sur le million de plus grands sites évalués par Alexa, seuls 2% sont limités à TLS 1.0 et 0.1% - TLS 1.1.
Selon les statistiques de Cloudflare, environ 9,3% des demandes via le réseau de diffusion de contenu de Cloudflare sont effectuées à l'aide de TLS 1.0. TLS 1.1 est utilisé dans 0,2% des cas.
Selon la société de services de données SSL Pulse Qualys, le protocole TLS 1.2 prend en charge 94% des sites Web, ce qui permet de configurer une connexion sécurisée.
«Deux décennies, c'est long pour qu'une technologie de sécurité reste inchangée. Bien que nous ne soyons pas conscients de vulnérabilités importantes avec nos mises à jour de TLS 1.0 et TLS 1.1, il existe des implémentations tierces vulnérables », a déclaré Kyle. Pflug, responsable de programme senior chez Microsoft Edge.
Données Mozilla collectées via la télémétrie à Firefox montre que seulement 1.11% des connexions sécurisées ont été établies à l'aide du protocole TLS 1.0. Pour TLS 1.1, ce chiffre est de 0.09%, pour TLS 1.2 - 93.12%, pour TLS 1.3 - 5.68%.
Les principaux problèmes de TLS 1.0 / 1.1 sont le manque de prise en charge des chiffrements modernes (par exemple, ECDHE et AEAD) et l'exigence de prendre en charge les anciens chiffrements, dont la fiabilité est remise en question au stade actuel du développement informatique (par exemple, la prise en charge de TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA est nécessaire pour vérifier).
La prise en charge des algorithmes hérités a déjà conduit à des attaques telles que ROBOT, DROWN, BEAST, Logjam et FREAK.
Cependant, ces problèmes n'étaient pas directement des vulnérabilités de protocole et ont été fermés au niveau de leurs implémentations.
Les protocoles TLS 1.0 / 1.1 manquent de vulnérabilités critiques qui peuvent être utilisées pour mener des attaques pratiques.