Firefox, Chrome, Edge ו- Safari כבר לא יתמכו ב- TLS 1.0 ו- TLS 1.1

Darkcrizt

4 דקות

אינטרנט-אבטחה-דפדפני-לוגו

קומו חלק מתנועה מתואמת בין ארבעה מהשמות הגדולים ביותר בטכנולוגיה, פרוטוקולי האבטחה הישנים TLS 1.0 ו- 1.1 יוסרו ב- Safari, Edge, Internet Explorer, Firefox ו- Chrome בשנת 2020.

אפל, מיקרוסופט, מוזילה וגוגל חברו לטיהור האינטרנט מפרוטוקולים ישנים ופגומים אלה, וציינו כי רוב האנשים עברו כעת ל- TLS 1.2, אם לא ל- TLS 1.3.

אמנם 94 אחוז מהאתרים כבר תואמים לגרסה 1.2, תקופת התעסקות ב -18 החודשים הבאים תיתן לכולם אפשרות להתעדכן.

מפתחי הדפדפנים Firefox, Chrome, Edge ו- Safari הזהירו מפני סיום הקרוב של התמיכה בפרוטוקולים TLS 1.0 ו- TLS 1.1:

  • ב- Firefox תיפסק תמיכת TLS 1.0 / 1.1 במרץ 2020, אך פרוטוקולים אלה יושבתו מוקדם יותר בגרסאות הניסיון והלילה.
  • ב- Chrome תופסק תמיכת TLS 1.0 / 1.1 החל מ- Google Chrome גרסה 81, שצפויה בינואר 2020.
  • בעוד שבגוגל כרום גרסה 72, שתשוחרר בינואר 2019, עם פתיחת אתרים עם TLS 1.0 / 1.1, תוצג אזהרה מיוחדת לגבי השימוש בגרסה המיושנת של TLS. ההגדרות המאפשרות להחזיר תמיכה ב- TLS 1.0 / 1.1 יישארו עד ינואר 2021.
  • בדפדפן האינטרנט Safari ובמנוע WebKit, התמיכה ב- TLS 1.0 / 1.1 תיפסק במרץ 2020.
  • בעוד שהוא נמצא בדפדפן האינטרנט Microsoft Edge ובאינטרנט אקספלורר 11, הסרת TLS 1.0 ו- TLS 1.1 צפויה במחצית הראשונה של 2020.

מפרט TLS 1.0 פורסם בינואר 1999. שבע שנים לאחר מכן שוחרר עדכון TLS 1.1 עם שיפורי אבטחה הקשורים לייצור וקטורי אתחול וקטורי ריפוד מצטברים.

נכון לעכשיו, כוח המשימה להנדסת אינטרנט (IETF), העוסק בפיתוח ארכיטקטורת פרוטוקולים באינטרנט, היא כבר פרסמה מפרט טיוטה שהופך את פרוטוקולי TLS 1.0 / 1.1 למיושנים.

אחרי 20 שנה בה הוא עדיין עומד הוא אחת הסיבות לכך שצפוי IETF (כוח משימה להנדסת אינטרנט) מאשרים רשמית את הפרוטוקולים בהמשך השנה, אם כי טרם נמסרה הודעה.

הרוב המכריע של המשתמשים והשרתים כבר משתמשים ב- TLS 1.2+

אחוז הבקשות המשתמשות ב- TLS 1.0 באינטרנט הוא 0,4% למשתמשי Chrome ו- 1% למשתמשי Firefox.

מתוך מיליון האתרים הגדולים ביותר שמדורגת Alexa, רק 2% מוגבלים ל- TLS 1.0 ו- 0.1% - TLS 1.1.

על פי הנתונים הסטטיסטיים של Cloudflare, כ 9,3% מהבקשות דרך רשת מסירת התוכן של Cloudflare נעשות באמצעות TLS 1.0. TLS 1.1 משמש ב 0,2% מהמקרים.

על פי חברת שירותי הנתונים SSL, Pulse Qualys TLS 1.2 פרוטוקול תומך ב 94% מהאתרים, ומאפשר הגדרת חיבור מאובטח.

"שני עשורים הם זמן רב לטכנולוגיית בטיחות להישאר ללא שינוי. אמנם איננו מודעים לפגיעות משמעותיות עם היישומים המעודכנים שלנו של TLS 1.0 ו- TLS 1.1, אך קיימים יישומים פגיעים של צד שלישי, "אמר קייל. Pflug, מנהל תוכניות בכיר ב- Microsoft Edge.

נתוני מוזילה שנאספו באמצעות טלמטריה ב Firefox מראה כי רק 1.11% מהחיבורים המאובטחים הוקמו באמצעות פרוטוקול TLS 1.0. עבור TLS 1.1, נתון זה הוא 0.09%, עבור TLS 1.2 - 93.12%, עבור TLS 1.3 - 5.68%.

הנושאים העיקריים ב- TLS 1.0 / 1.1 הם היעדר תמיכה בצפנים מודרניים (למשל ECDHE ו- AEAD) והדרישה לתמוך בצפנים ישנים, שאמינותם מוטלת בספק בשלב הנוכחי של פיתוח המחשב (למשל, התמיכה ב- TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA היא נדרש לאימות).

תמיכה באלגוריתמים מדור קודם כבר הובילה להתקפות כמו ROBOT, DROWN, BEAST, Logjam ו- FREAK.

עם זאת, נושאים אלה לא היו פגיעות ישירות בפרוטוקול ונסגרו ברמת היישומים שלהם.

בפרוטוקולי TLS 1.0 / 1.1 אין נקודות תורפה קריטיות שניתן להשתמש בהן לביצוע התקפות מעשיות.


השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי על הנתונים: AB Internet Networks 2008 SL
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.