Como pjesë e një lëvizjeje të koordinuar midis katër prej emrave më të mëdhenj në teknologji, protokollet e vjetra të sigurisë TLS 1.0 dhe 1.1 do të hiqen në Safari, Edge, Internet Explorer, Firefox dhe Chrome në vitin 2020.
Apple, Microsoft, Mozilla dhe Google janë bashkuar për të pastruar internetin nga këto protokolle të vjetra dhe të gabuara, duke theksuar se shumica e njerëzve tani janë zhvendosur në TLS 1.2, nëse jo TLS 1.3.
Megjithëse 94 përqind e siteve janë tashmë në përputhje me versionin 1.2, një periudhë e ndërhyrjeve gjatë 18 muajve të ardhshëm do t'u japë të gjithëve një shans për të kapur hapin.
Zhvilluesit e shfletuesve Firefox, Chrome, Edge dhe Safari paralajmëruan përfundimin e menjëhershëm të mbështetjes për protokollet TLS 1.0 dhe TLS 1.1:
- Në Firefox, mbështetja për TLS 1.0 / 1.1 do të ndërpritet në Mars 2020, por këto protokolle do të çaktivizohen më herët në versionet provë dhe ato të natës.
- Në Chrome, mbështetja për TLS 1.0 / 1.1 do të ndërpritet që nga versioni 81 i Google Chrome, i cili pritet në janar 2020.
- Ndërsa në versionin Google Chrome 72, i cili do të dalë në janar 2019, kur hap faqet me TLS 1.0 / 1.1, do të shfaqet një paralajmërim i veçantë për përdorimin e versionit të vjetëruar të TLS. Cilësimet që bëjnë të mundur kthimin e mbështetjes për TLS 1.0 / 1.1 do të qëndrojnë deri në janar 2021.
- Në shfletuesin e internetit Safari dhe motorin WebKit, mbështetja për TLS 1.0 / 1.1 do të ndërpritet në Mars 2020.
- Ndërsa në shfletuesin e internetit Microsoft Edge dhe Internet Explorer 11, heqja e TLS 1.0 dhe TLS 1.1 pritet në gjysmën e parë të vitit 2020.
Specifikimi TLS 1.0 u lëshua në janar 1999. Shtatë vjet më vonë, azhurnimi i TLS 1.1 u lëshua me përmirësime të sigurisë që lidhen me gjenerimin e vektorëve inicializues dhe vektorëve të mbushjes në rritje.
Aktualisht, Task Forca e Inxhinierisë së Internetit (IETF), e cila është e përfshirë në zhvillimin e arkitekturës dhe protokolleve të Internetit, Ai tashmë ka publikuar një draft specifikim që i bën protokollet TLS 1.0 / 1.1 të vjetruara.
Pas 20 vitesh në të cilat është ende në këmbë është një nga arsyet që pritet të ketë IETF (Task Forca e Inxhinierisë së Internetit) zyrtarisht nuk i pranon protokollet më vonë këtë vit, megjithëse ende nuk është bërë asnjë njoftim.
Shumica dërrmuese e përdoruesve dhe serverave tashmë përdorin TLS 1.2+
Përqindja e kërkesave që përdorin TLS 1.0 në internet është 0,4% për përdoruesit e Chrome dhe 1% për përdoruesit e Firefox.
Nga 2 milion faqet më të mëdha të vlerësuara nga Alexa, vetëm 1.0% janë të kufizuara në TLS 0.1 dhe 1.1% - TLS XNUMX.
Sipas statistikave të Cloudflare, afërsisht 9,3% e kërkesave përmes rrjetit të shpërndarjes së përmbajtjes së Cloudflare bëhen duke përdorur TLS 1.0. TLS 1.1 përdoret në 0,2% të rasteve.
Sipas kompanisë së shërbimit të të dhënave SSL, protokolli Pulse Qualys TLS 1.2 mbështet 94% të faqeve të internetit, duke lejuar vendosjen e sigurt të lidhjes.
“Dy dekada është një kohë e gjatë që një teknologji e sigurisë të mbetet e pandryshuar. Ndërsa ne nuk jemi të vetëdijshëm për dobësitë domethënëse me implementimet tona të azhurnuara të TLS 1.0 dhe TLS 1.1, ka implementime të palëve të treta të prekshme, "tha Kyle. Pflug, menaxher i lartë i programit në Microsoft Edge.
Të dhënat e Mozilla-s të mbledhura përmes telemetrisë në Firefox tregon se vetëm 1.11% e lidhjeve të sigurta u krijuan duke përdorur protokollin TLS 1.0. Për TLS 1.1, kjo shifër është 0.09%, për TLS 1.2 - 93.12%, për TLS 1.3 - 5.68%.
Çështjet kryesore me TLS 1.0 / 1.1 janë mungesa e mbështetjes për shifrat moderne (p.sh. ECDHE dhe AEAD) dhe kërkesa për të mbështetur shifrat e vjetër, besueshmëria e të cilave vihet në dyshim në fazën aktuale të zhvillimit të kompjuterit (p.sh., mbështetja për TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA është kërkohet të verifikohet).
Mbështetja për algoritmet e trashëguara tashmë ka çuar në sulme të tilla si ROBOT, DROWN, BEAST, Logjam dhe FREAK.
Sidoqoftë, këto çështje nuk ishin dobësi direkte të protokollit dhe u mbyllën në nivelin e implementimit të tyre.
Protokollet TLS 1.0 / 1.1 nuk kanë dobësi kritike që mund të përdoren për të kryer sulme praktike.