Como koordinált mozgás része a technológia négy legnagyobb neve között, a régi TLS 1.0 és 1.1 biztonsági protokollokat 2020-ban eltávolítják a Safari, az Edge, az Internet Explorer, a Firefox és a Chrome böngészőiből.
Az Apple, a Microsoft, a Mozilla és a Google összefogtak, hogy megtisztítsák az internetet ezektől a régi és hibás protokolloktól, megjegyezve, hogy a legtöbb ember most a TLS 1.2, ha nem a TLS 1.3-ra vált.
Bár a webhelyek 94 százaléka már kompatibilis az 1.2-es verzióval, az elkövetkezõ 18 hónap manipulációjának idõszaka mindenkinek lehetõséget kínál felzárkózásra.
A Firefox, Chrome, Edge és Safari böngészők fejlesztői a TLS 1.0 és a TLS 1.1 protokollok támogatásának azonnali megszüntetésére figyelmeztettek:
- A Firefoxban a TLS 1.0 / 1.1 támogatása 2020 márciusában megszűnik, de ezeket a protokollokat korábban letiltják próbaverzióban és éjszakai változatban.
- A Chrome-ban a TLS 1.0 / 1.1 támogatása megszűnik a Google Chrome 81. verziójától, amely várhatóan 2020 januárjában lesz.
- Míg a Google Chrome 72-es verziójában, amely 2019 januárjában jelenik meg, a TLS 1.0 / 1.1 verziójú webhelyek megnyitásakor külön figyelmeztetés jelenik meg a TLS elavult verziójának használatáról. A TLS 1.0 / 1.1 támogatásának visszaadását lehetővé tevő beállítások 2021 januárjáig maradnak.
- A Safari webböngészőben és a WebKit motorban a TLS 1.0 / 1.1 támogatása 2020 márciusában megszűnik.
- Míg a Microsoft Edge webböngészőben és az Internet Explorer 11-ben a TLS 1.0 és a TLS 1.1 eltávolítása 2020 első felében várható.
A TLS 1.0 specifikáció 1999 januárjában jelent meg. Hét évvel később a TLS 1.1 frissítés megjelent az inicializáló vektorok és az inkrementális kitöltő vektorok létrehozásával kapcsolatos biztonsági fejlesztésekkel.
Jelenleg az Internet Engineering Task Force (IETF), amely részt vesz az internetes architektúra és protokollok fejlesztésében, Már közzétette a specifikáció tervezetét, amely elavulttá teszi a TLS 1.0 / 1.1 protokollokat.
20 év után, amelyben még mindig áll, van az IETF várható egyik oka (Internetes mérnöki munkacsoport) az év végén hivatalosan elutasította a protokollokat, bár még nem tettek bejelentést.
A felhasználók és a szerverek túlnyomó többsége már használja a TLS 1.2+ rendszert
Az interneten a TLS 1.0-t használó kérelmek százaléka 0,4% a Chrome-felhasználók és 1% a Firefox-felhasználók számára.
Az Alexa által értékelt 2 millió legnagyobb webhely közül csak 1.0% a TLS 0.1-ra és 1.1% -ra korlátozódik - TLS XNUMX.
A Cloudflare statisztikái szerint a Cloudflare tartalomszolgáltató hálózatán keresztül érkező kérelmek körülbelül 9,3% -a TLS 1.0 használatával történik. A TLS 1.1-et az esetek 0,2% -ában használják.
Az SSL adatszolgáltató cég szerint a Pulse Qualys TLS 1.2 protokoll támogatja a webhelyek 94% -át, lehetővé téve a biztonságos kapcsolat beállítását.
„Két évtized hosszú idő, amíg a biztonsági technológia változatlan marad. Noha nincsenek tudatában a TLS 1.0 és a TLS 1.1 frissített implementációinak jelentős sérülékenységeiről, vannak sérülékeny külső implementációk is ”- mondta Kyle. Pflug, a Microsoft Edge vezető programmenedzsere.
A telemetria útján gyűjtött Mozilla adatok a következő címen: A Firefox azt mutatja, hogy a biztonságos kapcsolatoknak csak a 1.11% -a jött létre a TLS 1.0 protokoll használatával. A TLS 1.1 esetében ez az adat 0.09%, a TLS 1.2 - 93.12%, a TLS 1.3 - 5.68%.
A TLS 1.0 / 1.1 fő kérdése a modern rejtjelek (pl. ECDHE és AEAD) támogatásának hiánya, valamint a régi titkosítások támogatásának követelménye, amelyek megbízhatóságát a számítógépes fejlesztés jelenlegi szakaszában megkérdőjelezik (például a TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA támogatása ellenőrizni szükséges).
A régi algoritmusok támogatása már olyan támadásokhoz vezetett, mint a ROBOT, DROWN, BEAST, Logjam és FREAK.
Ezek a kérdések azonban nem voltak közvetlenül a protokoll sebezhetőségei, és megvalósításuk szintjén lezárultak.
A TLS 1.0 / 1.1 protokollokban nincsenek kritikus sebezhetőségek, amelyek gyakorlati támadások végrehajtására használhatók.