コモ 協調運動の一部 テクノロジーの最大のXNUMXつの名前の中で、 古いセキュリティプロトコルTLS1.0および1.1は、2020年にSafari、Edge、Internet Explorer、Firefox、およびChromeで削除されます。
Apple、Microsoft、Mozilla、およびGoogleは協力して、これらの古くて欠陥のあるプロトコルをインターネットから一掃しました。現在、ほとんどの人がTLS1.2ではなくてもTLS1.3に移行していることに注意してください。
サイトの94%はすでにバージョン1.2と互換性がありますが、次の18か月にわたる改ざんの期間は、誰もが追いつく機会を与えます。
ブラウザFirefox、Chrome、Edge、およびSafariの開発者は、TLS1.0およびTLS1.1プロトコルのサポートが間もなく終了することを警告しました。
- Firefoxでは、TLS 1.0 / 1.1のサポートは2020年XNUMX月に廃止されますが、これらのプロトコルは、試用版と夜間バージョンの早い段階で無効になります。
- Chromeでは、TLS 1.0 / 1.1のサポートは、81年2020月に予定されているGoogleChromeバージョンXNUMXで廃止されます。
- 72年2019月にリリースされるGoogleChromeバージョン1.0では、TLS 1.1 / 1.0でサイトを開くと、古いバージョンのTLSの使用に関する特別な警告が表示されます。 TLS 1.1 / 2021のサポートを返すことを可能にする設定は、XNUMX年XNUMX月まで残ります。
- Safari WebブラウザとWebKitエンジンでは、TLS 1.0 /1.1のサポートは2020年XNUMX月に終了します。
- Microsoft EdgeWebブラウザーとInternetExplorer 11では、1.0年の前半にTLS1.1とTLS2020の削除が予定されています。
TLS 1.0仕様は1999年1.1月にリリースされました。XNUMX年後、TLS XNUMXアップデートがリリースされ、初期化ベクトルとインクリメンタルパディングベクトルの生成に関連するセキュリティが強化されました。
現在のところ、 インターネットアーキテクチャとプロトコルの開発に関与するインターネット技術特別調査委員会(IETF)、 TLS 1.0 /1.1プロトコルを廃止する仕様案はすでに公開されています。
それがまだ立っている20年後は IETFが期待される理由のXNUMXつ (インターネットエンジニアリングタスクフォース) 今年後半にプロトコルを公式に不承認、まだ発表はありませんが。
大多数のユーザーとサーバーはすでにTLS1.2以降を使用しています
Web上でTLS1.0を使用するリクエストの割合は、Chromeユーザーの場合は0,4%、Firefoxユーザーの場合は1%です。
Alexaによって評価された2万の最大のサイトのうち、TLS 1.0に制限されているのは0.1%のみで、TLS 1.1に制限されています。
Cloudflareの統計によると、Cloudflareのコンテンツ配信ネットワークを介したリクエストの約9,3%はTLS1.0を使用して行われます。 TLS 1.1は0,2%のケースで使用されています。
SSLデータサービス会社によると、Pulse Qualys TLS 1.2プロトコルはWebサイトの94%をサポートし、安全な接続設定を可能にします。
「安全技術が変わらないままでいるのに1.0年は長い時間です。 TLS1.1およびTLSXNUMXの更新された実装の重大な脆弱性は認識していませんが、脆弱なサードパーティの実装があります」とカイル氏は述べています。 Pflug、MicrosoftEdgeのシニアプログラムマネージャー。
テレメトリを介して収集されたMozillaデータ Firefoxは、TLS 1.11プロトコルを使用して確立されたセキュア接続は1.0%のみであることを示しています。 TLS 1.1の場合、この数値は0.09%、TLS 1.2の場合は93.12%、TLS 1.3の場合は5.68%です。
TLS 1.0 / 1.1の主な問題は、最新の暗号(ECDHEやAEADなど)のサポートの欠如と、コンピューター開発の現段階で信頼性が疑問視されている古い暗号(TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHAのサポートなど)のサポートの要件です。確認する必要があります)。
レガシーアルゴリズムのサポートにより、ROBOT、DROWN、BEAST、Logjam、FREAKなどの攻撃がすでに発生しています。
ただし、これらの問題は直接プロトコルの脆弱性ではなく、実装のレベルで解決されました。
TLS 1.0 / 1.1プロトコルには、実際の攻撃を実行するために使用できる重大な脆弱性がありません。