Como parte a unei mișcări coordonate printre patru dintre cele mai mari nume din tehnologie, vechile protocoale de securitate TLS 1.0 și 1.1 vor fi eliminate în Safari, Edge, Internet Explorer, Firefox și Chrome în 2020.
Apple, Microsoft, Mozilla și Google s-au unit pentru a elimina internetul de aceste protocoale vechi și defecte, observând că majoritatea oamenilor s-au mutat acum la TLS 1.2, dacă nu TLS 1.3.
Deși 94 la sută din site-uri sunt deja compatibile cu versiunea 1.2, o perioadă de manipulare în următoarele 18 luni va oferi tuturor șansa de a ajunge din urmă.
Dezvoltatorii browserelor Firefox, Chrome, Edge și Safari au avertizat despre încetarea iminentă a suportului pentru protocoalele TLS 1.0 și TLS 1.1:
- În Firefox, suportul TLS 1.0 / 1.1 va fi întrerupt în martie 2020, dar aceste protocoale vor fi dezactivate mai devreme în versiunile de încercare și de noapte.
- În Chrome, suportul TLS 1.0 / 1.1 va fi întrerupt începând cu versiunea Google Chrome 81, care este așteptată în ianuarie 2020.
- În timp ce în Google Chrome versiunea 72, care va fi lansată în ianuarie 2019, la deschiderea site-urilor cu TLS 1.0 / 1.1, va fi afișat un avertisment special despre utilizarea versiunii învechite a TLS. Setările care fac posibilă returnarea suportului pentru TLS 1.0 / 1.1 vor rămâne până în ianuarie 2021.
- În browserul web Safari și motorul WebKit, suportul pentru TLS 1.0 / 1.1 va fi întrerupt în martie 2020.
- În timp ce se află în browserul web Microsoft Edge și Internet Explorer 11, eliminarea TLS 1.0 și TLS 1.1 este de așteptat în prima jumătate a anului 2020.
Specificația TLS 1.0 a fost lansată în ianuarie 1999. Șapte ani mai târziu, actualizarea TLS 1.1 a fost lansată cu îmbunătățiri de securitate legate de generarea vectorilor de inițializare și a vectorilor de umplere incrementală.
În prezent, Internet Engineering Task Force (IETF), care este implicat în dezvoltarea protocoalelor și arhitecturii Internetului, A publicat deja o schiță de specificații care face ca protocoalele TLS 1.0 / 1.1 să fie învechite.
După 20 de ani în care este încă în picioare este unul dintre motivele pentru care se așteaptă IETF (Task Force Inginerie Internet) dezaprobă oficial protocoalele la sfârșitul acestui an, deși nu s-a făcut încă niciun anunț.
Marea majoritate a utilizatorilor și serverelor folosesc deja TLS 1.2+
Procentul de solicitări care utilizează TLS 1.0 pe web este de 0,4% pentru utilizatorii Chrome și 1% pentru utilizatorii Firefox.
Din cele mai mari 2 milion de site-uri evaluate de Alexa, doar 1.0% sunt limitate la TLS 0.1 și 1.1% - TLS XNUMX.
Conform statisticilor Cloudflare, aproximativ 9,3% din solicitări prin rețeaua de livrare a conținutului Cloudflare sunt efectuate utilizând TLS 1.0. TLS 1.1 este utilizat în 0,2% din cazuri.
Potrivit companiei de servicii de date SSL, protocolul Pulse Qualys TLS 1.2 acceptă 94% din site-uri web, permițând setarea conexiunii securizate.
„Două decenii sunt mult timp pentru ca o tehnologie de siguranță să rămână neschimbată. Deși nu suntem conștienți de vulnerabilități semnificative cu implementările actualizate ale TLS 1.0 și TLS 1.1, există implementări vulnerabile ale terților ", a spus Kyle. Pflug, manager de program senior la Microsoft Edge.
Date Mozilla colectate prin telemetrie la Firefox arată că doar 1.11% din conexiunile securizate au fost stabilite utilizând protocolul TLS 1.0. Pentru TLS 1.1, această cifră este de 0.09%, pentru TLS 1.2 - 93.12%, pentru TLS 1.3 - 5.68%.
Principalele probleme din TLS 1.0 / 1.1 sunt lipsa de suport pentru cifrele moderne (de exemplu, ECDHE și AEAD) și cerința de a sprijini cifrele vechi, a căror fiabilitate este pusă la îndoială în etapa curentă de dezvoltare a computerului (de exemplu, suportul pentru TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA este necesare verificării).
Suportul pentru algoritmi vechi a dus deja la atacuri precum ROBOT, DROWN, BEAST, Logjam și FREAK.
Cu toate acestea, aceste probleme nu erau în mod direct vulnerabilități de protocol și au fost închise la nivelul implementărilor lor.
Protocoalele TLS 1.0 / 1.1 nu au vulnerabilități critice care pot fi utilizate pentru a efectua atacuri practice.