Como parte de um movimento coordenado entre quatro dos maiores nomes da tecnologia, os antigos protocolos de segurança TLS 1.0 e 1.1 serão removidos do Safari, Edge, Internet Explorer, Firefox e Chrome em 2020.
Apple, Microsoft, Mozilla e Google se uniram para limpar a Internet desses protocolos antigos e defeituosos, observando que a maioria das pessoas agora mudou para o TLS 1.2, se não o TLS 1.3.
Embora 94 por cento dos sites já sejam compatíveis com a versão 1.2, um período de adulteração nos próximos 18 meses dará a todos a chance de se atualizar.
Os desenvolvedores dos navegadores Firefox, Chrome, Edge e Safari alertaram sobre o encerramento iminente do suporte para os protocolos TLS 1.0 e TLS 1.1:
- No Firefox, o suporte TLS 1.0 / 1.1 será descontinuado em março de 2020, mas esses protocolos serão desabilitados antes nas versões de teste e noturnas.
- No Chrome, o suporte TLS 1.0 / 1.1 será descontinuado a partir da versão 81 do Google Chrome, prevista para janeiro de 2020.
- Enquanto estiver no Google Chrome versão 72, que será lançado em janeiro de 2019, ao abrir sites com TLS 1.0 / 1.1, um aviso especial sobre o uso da versão desatualizada do TLS será exibido. As configurações que permitem retornar o suporte para TLS 1.0 / 1.1 permanecerão até janeiro de 2021.
- No navegador Safari e no mecanismo WebKit, o suporte para TLS 1.0 / 1.1 será descontinuado em março de 2020.
- Enquanto no navegador Microsoft Edge e no Internet Explorer 11, a remoção do TLS 1.0 e do TLS 1.1 é esperada no primeiro semestre de 2020.
A especificação TLS 1.0 foi lançada em janeiro de 1999. Sete anos depois, a atualização TLS 1.1 foi lançada com aprimoramentos de segurança relacionados à geração de vetores de inicialização e vetores de preenchimento incremental.
Atualmente, a Internet Engineering Task Force (IETF), que está envolvida no desenvolvimento de protocolos e arquitetura da Internet, Já publicou um projeto de especificação que torna os protocolos TLS 1.0 / 1.1 obsoletos.
Depois de 20 anos em que ainda está de pé, uma das razões pelas quais se espera que o IETF (Força-Tarefa de Engenharia da Internet) desaprovar oficialmente os protocolos ainda este ano, embora nenhum anúncio tenha sido feito ainda.
A grande maioria dos usuários e servidores já usa TLS 1.2+
A porcentagem de solicitações usando TLS 1.0 na web é de 0,4% para usuários do Chrome e 1% para usuários do Firefox.
Dos 2 milhão de maiores sites avaliados pela Alexa, apenas 1.0% estão limitados a TLS 0.1 e 1.1% - TLS XNUMX.
De acordo com as estatísticas da Cloudflare, aproximadamente 9,3% das solicitações por meio da rede de entrega de conteúdo da Cloudflare são feitas usando TLS 1.0. TLS 1.1 é usado em 0,2% dos casos.
De acordo com a empresa de serviço de dados SSL Pulse Qualys TLS 1.2, o protocolo suporta 94% dos sites, permitindo a configuração de conexão segura.
“Duas décadas é muito tempo para que uma tecnologia de segurança permaneça inalterada. Embora não estejamos cientes de vulnerabilidades significativas com nossas implementações atualizadas de TLS 1.0 e TLS 1.1, existem implementações de terceiros vulneráveis ”, disse Kyle. Pflug, gerente de programa sênior da Microsoft Edge.
Dados do Mozilla coletados via telemetria em O Firefox mostra que apenas 1.11% das conexões seguras foram estabelecidas usando o protocolo TLS 1.0. Para TLS 1.1, esse valor é 0.09%, para TLS 1.2 - 93.12%, para TLS 1.3 - 5.68%.
Os principais problemas em TLS 1.0 / 1.1 são a falta de suporte para cifras modernas (por exemplo, ECDHE e AEAD) e a exigência de suportar cifras antigas, cuja confiabilidade é questionada no estágio atual de desenvolvimento do computador (por exemplo, suporte para TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA é necessário para verificar).
O suporte para algoritmos legados já levou a ataques como ROBOT, DROWN, BEAST, Logjam e FREAK.
No entanto, esses problemas não eram vulnerabilidades de protocolo diretamente e foram fechados no nível de suas implementações.
Os protocolos TLS 1.0 / 1.1 carecem de vulnerabilidades críticas que podem ser usadas para realizar ataques práticos.