Como del av en samordnad rörelse bland fyra av de största namnen inom teknik, de gamla säkerhetsprotokollen TLS 1.0 och 1.1 tas bort i Safari, Edge, Internet Explorer, Firefox och Chrome 2020.
Apple, Microsoft, Mozilla och Google har samarbetat för att rensa internet från dessa gamla och felaktiga protokoll och noterar att de flesta nu har flyttat till TLS 1.2, om inte TLS 1.3.
Även om 94 procent av webbplatserna redan är kompatibla med version 1.2, en period av manipulering under de kommande 18 månaderna kommer att ge alla chansen att komma ikapp.
Utvecklarna av webbläsarna Firefox, Chrome, Edge och Safari varnade för det överhängande stödet för TLS 1.0 och TLS 1.1-protokollet:
- I Firefox kommer TLS 1.0 / 1.1-stödet att avbrytas i mars 2020, men dessa protokoll kommer att inaktiveras tidigare i testversioner och nattversioner.
- I Chrome kommer TLS 1.0 / 1.1-stödet att avbrytas från och med Google Chrome version 81, vilket förväntas i januari 2020.
- I Google Chrome version 72, som kommer att släppas i januari 2019, när webbplatser öppnas med TLS 1.0 / 1.1, visas en speciell varning om att använda den föråldrade versionen av TLS. Inställningarna som gör det möjligt att returnera stöd för TLS 1.0 / 1.1 kvarstår till januari 2021.
- I Safari-webbläsaren och WebKit-motorn kommer support för TLS 1.0 / 1.1 att avbrytas i mars 2020.
- I Microsoft Edge-webbläsaren och Internet Explorer 11 förväntas borttagning av TLS 1.0 och TLS 1.1 under första halvåret 2020.
TLS 1.0-specifikationen släpptes i januari 1999. Sju år senare släpptes TLS 1.1-uppdateringen med säkerhetsförbättringar relaterade till genereringen av initialiseringsvektorer och inkrementella stoppningsvektorer.
För närvarande, Internet Engineering Task Force (IETF), som deltar i utvecklingen av internetarkitektur och protokoll, Det har redan publicerat ett utkastsspecifikation som gör TLS 1.0 / 1.1-protokollen föråldrade.
Efter 20 år som den fortfarande står är en av anledningarna till att IETF förväntas göra det (Task Force Internet Engineering) godkänner officiellt protokollen senare i år, även om inget meddelande har gjorts ännu.
De allra flesta användare och servrar använder redan TLS 1.2+
Andelen förfrågningar som använder TLS 1.0 på webben är 0,4% för Chrome-användare och 1% för Firefox-användare.
Av de 2 miljon största sajterna som rankas av Alexa är endast 1.0% begränsade till TLS 0.1 och 1.1% - TLS XNUMX.
Enligt Cloudflare-statistik görs cirka 9,3% av förfrågningarna via Cloudflares innehållsleveransnätverk med TLS 1.0. TLS 1.1 används i 0,2% av fallen.
Enligt SSL-datatjänstföretaget Pulse Qualys TLS 1.2-protokoll stöder 94% av webbplatserna, vilket möjliggör säker anslutningsinställning.
”Två decennier är lång tid för en säkerhetsteknik att vara oförändrad. Även om vi inte är medvetna om betydande sårbarheter med våra uppdaterade implementeringar av TLS 1.0 och TLS 1.1 finns det sårbara tredjepartsimplementeringar, säger Kyle. Pflug, senior programchef på Microsoft Edge.
Mozilla-data som samlats in via telemetri på Firefox visar att endast 1.11% av säkra anslutningar upprättades med TLS 1.0-protokollet. För TLS 1.1 är denna siffra 0.09%, för TLS 1.2 - 93.12%, för TLS 1.3 - 5.68%.
De viktigaste frågorna i TLS 1.0 / 1.1 är bristen på stöd för moderna chiffror (t.ex. ECDHE och AEAD) och kravet på att stödja gamla chiffer, vars tillförlitlighet ifrågasätts i det nuvarande utvecklingsstadiet (t.ex. stöd för TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA är krävs för att verifiera).
Stöd för äldre algoritmer har redan lett till attacker som ROBOT, DROWN, BEAST, Logjam och FREAK.
Dessa problem var dock inte direkt protokollsårbarheter och stängdes på implementeringsnivån.
TLS 1.0 / 1.1-protokollen saknar kritiska sårbarheter som kan användas för att utföra praktiska attacker.