Como częścią skoordynowanego ruchu wśród czterech największych nazwisk w dziedzinie technologii, stare protokoły bezpieczeństwa TLS 1.0 i 1.1 zostaną usunięte w Safari, Edge, Internet Explorer, Firefox i Chrome w 2020 roku.
Apple, Microsoft, Mozilla i Google połączyły siły, aby oczyścić Internet z tych starych i wadliwych protokołów, zauważając, że większość ludzi przeniosła się teraz na TLS 1.2, jeśli nie TLS 1.3.
Chociaż 94 procent witryn jest już zgodnych z wersją 1.2, okres manipulacji w ciągu następnych 18 miesięcy da każdemu szansę na nadrobienie zaległości.
Twórcy przeglądarek Firefox, Chrome, Edge i Safari ostrzegli o rychłym zakończeniu obsługi protokołów TLS 1.0 i TLS 1.1:
- W przeglądarce Firefox obsługa TLS 1.0 / 1.1 zostanie zakończona w marcu 2020 r., Ale protokoły te zostaną wyłączone wcześniej w wersjach próbnych i nocnych.
- W przeglądarce Chrome obsługa TLS 1.0 / 1.1 zostanie wycofana od wersji 81 przeglądarki Google Chrome, która jest spodziewana w styczniu 2020 r.
- W przeglądarce Google Chrome w wersji 72, która zostanie wydana w styczniu 2019 r., Podczas otwierania witryn z TLS 1.0 / 1.1 zostanie wyświetlone specjalne ostrzeżenie o używaniu nieaktualnej wersji TLS. Ustawienia, które umożliwią powrót obsługi TLS 1.0 / 1.1, pozostaną do stycznia 2021 roku.
- W przeglądarce Safari i silniku WebKit obsługa TLS 1.0 / 1.1 zostanie zakończona w marcu 2020 r.
- Podczas gdy w przeglądarce internetowej Microsoft Edge i Internet Explorer 11, oczekiwane jest usunięcie TLS 1.0 i TLS 1.1 w pierwszej połowie 2020 roku.
Specyfikacja TLS 1.0 została wydana w styczniu 1999 roku. Siedem lat później wydano aktualizację TLS 1.1 z ulepszeniami bezpieczeństwa związanymi z generowaniem wektorów inicjalizacyjnych i przyrostowych wektorów dopełniających.
Obecnie Internet Engineering Task Force (IETF), która zajmuje się rozwojem protokołów i architektury Internetu, Opublikował już projekt specyfikacji, który sprawia, że protokoły TLS 1.0 / 1.1 są przestarzałe.
Po 20 latach, w których nadal stoi, jest jeden z powodów, dla których oczekuje się, że IETF (Grupa zadaniowa ds. Inżynierii internetowej) oficjalnie odrzucić protokoły jeszcze w tym roku, chociaż jeszcze nie ogłoszono.
Zdecydowana większość użytkowników i serwerów korzysta już z TLS 1.2+
Odsetek żądań korzystających z protokołu TLS 1.0 w Internecie wynosi 0,4% dla użytkowników przeglądarki Chrome i 1% dla użytkowników przeglądarki Firefox.
Z 2 miliona największych witryn ocenionych przez Alexę tylko 1.0% jest ograniczone do TLS 0.1 i 1.1% - TLS XNUMX.
Według statystyk Cloudflare około 9,3% żądań za pośrednictwem sieci dostarczania treści Cloudflare jest realizowanych przy użyciu protokołu TLS 1.0. TLS 1.1 jest używany w 0,2% przypadków.
Według firmy świadczącej usługi danych SSL Pulse Qualys protokół TLS 1.2 obsługuje 94% witryn internetowych, umożliwiając bezpieczne zestawianie połączeń.
„Dwie dekady to długo, zanim technologia bezpieczeństwa pozostanie niezmieniona. Chociaż nie jesteśmy świadomi istotnych luk w zabezpieczeniach w naszych zaktualizowanych implementacjach TLS 1.0 i TLS 1.1, istnieją podatne na ataki implementacje innych firm ”- powiedział Kyle. Pflug, starszy menedżer programu w Microsoft Edge.
Dane Mozilli zebrane telemetrycznie pod adresem Firefox pokazuje, że tylko 1.11% bezpiecznych połączeń zostało nawiązanych przy użyciu protokołu TLS 1.0. Dla TLS 1.1 liczba ta wynosi 0.09%, dla TLS 1.2 - 93.12%, dla TLS 1.3 - 5.68%.
Główne problemy w TLS 1.0 / 1.1 to brak wsparcia dla nowoczesnych szyfrów (np.ECDHE i AEAD) oraz wymóg obsługi starych szyfrów, których niezawodność jest kwestionowana na obecnym etapie rozwoju komputera (np. Wsparcie dla TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA jest wymagane do weryfikacji).
Obsługa starszych algorytmów już doprowadziła do ataków takich jak ROBOT, DROWN, BEAST, Logjam i FREAK.
Jednak problemy te nie były bezpośrednio podatnościami protokołów i zostały zamknięte na poziomie ich implementacji.
W protokołach TLS 1.0 / 1.1 brakuje krytycznych luk w zabezpieczeniach, które można by wykorzystać do przeprowadzenia praktycznych ataków.