Como del av en koordinert bevegelse blant fire av de største navnene innen teknologi, de gamle sikkerhetsprotokollene TLS 1.0 og 1.1 vil bli fjernet i Safari, Edge, Internet Explorer, Firefox og Chrome i 2020.
Apple, Microsoft, Mozilla og Google har gått sammen om å rense internett for disse gamle og defekte protokollene, og bemerker at folk flest nå har flyttet til TLS 1.2, om ikke TLS 1.3.
Selv om 94 prosent av nettstedene allerede er kompatible med versjon 1.2, en periode med tukling i løpet av de neste 18 månedene vil gi alle sjansen til å ta igjen.
Utviklerne av nettleserne Firefox, Chrome, Edge og Safari advarte om den forestående avslutningen av støtten for TLS 1.0 og TLS 1.1-protokollene:
- I Firefox vil TLS 1.0 / 1.1-støtte avvikles i mars 2020, men disse protokollene blir deaktivert tidligere i prøveversjoner og nattlige versjoner.
- I Chrome vil TLS 1.0 / 1.1-støtte avvikles fra og med Google Chrome versjon 81, som forventes i januar 2020.
- Mens du er i Google Chrome versjon 72, som vil bli utgitt i januar 2019, når du åpner nettsteder med TLS 1.0 / 1.1, vises en spesiell advarsel om bruk av den utdaterte versjonen av TLS. Innstillingene som gjør det mulig å returnere støtte for TLS 1.0 / 1.1, forblir til januar 2021.
- I Safari-nettleseren og WebKit-motoren vil støtte for TLS 1.0 / 1.1 bli avviklet i mars 2020.
- Mens du er i Microsoft Edge-nettleseren og Internet Explorer 11, forventes fjerning av TLS 1.0 og TLS 1.1 i første halvdel av 2020.
TLS 1.0-spesifikasjonen ble utgitt i januar 1999. Syv år senere ble TLS 1.1-oppdateringen gitt ut med sikkerhetsforbedringer knyttet til generering av initialiseringsvektorer og inkrementelle polstringsvektorer.
Tiden, Internet Engineering Task Force (IETF), som er involvert i utviklingen av internettprotokoller og arkitektur, Den har allerede publisert et utkastsspesifikasjon som gjør TLS 1.0 / 1.1-protokollene foreldet.
Etter 20 år som den fremdeles står en av grunnene til at IETF forventes å (Internet Engineering Task Force) offisielt avskaffe protokollene senere i år, selv om ingen kunngjøringer er kommet ennå.
De aller fleste brukere og servere bruker allerede TLS 1.2+
Prosentandelen av forespørsler som bruker TLS 1.0 på nettet, er 0,4% for Chrome-brukere og 1% for Firefox-brukere.
Av de 2 million største nettstedene som er rangert av Alexa, er bare 1.0% begrenset til TLS 0.1 og 1.1% - TLS XNUMX.
I henhold til Cloudflare-statistikken er omtrent 9,3% av forespørslene gjennom Cloudflares innholdsleveringsnettverk laget med TLS 1.0. TLS 1.1 brukes i 0,2% av tilfellene.
I følge SSL-datatjenesteselskapet Pulse Qualys TLS 1.2-protokoll støtter 94% av nettsteder, noe som tillater sikker tilkobling.
- To tiår er lang tid for sikkerhetsteknologi å forbli uendret. Selv om vi ikke er klar over betydelige sårbarheter med våre oppdaterte implementeringer av TLS 1.0 og TLS 1.1, er det sårbare tredjepartsimplementeringer, ”sa Kyle. Pflug, senior programleder i Microsoft Edge.
Mozilla-data samlet inn via telemetri kl Firefox viser at bare 1.11% av sikre tilkoblinger ble opprettet ved hjelp av TLS 1.0-protokollen. For TLS 1.1 er dette tallet 0.09%, for TLS 1.2 - 93.12%, for TLS 1.3 - 5.68%.
Hovedproblemene med TLS 1.0 / 1.1 er mangel på støtte for moderne kodere (f.eks. ECDHE og AEAD) og kravet om å støtte gamle krypter, hvis pålitelighet stilles spørsmålstegn ved det nåværende stadiet av datamaskinutvikling (f.eks. Støtte for TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA er kreves for å verifisere).
Støtte for eldre algoritmer har allerede ført til angrep som ROBOT, DROWN, BEAST, Logjam og FREAK.
Imidlertid var disse problemene ikke direkte sårbarheter i protokollen, og ble lukket på implementeringsnivået.
TLS 1.0 / 1.1-protokollene mangler kritiske sårbarheter som kan brukes til å utføre praktiske angrep.