โคโม ส่วนหนึ่งของการเคลื่อนไหวที่ประสานกัน หนึ่งในสี่ชื่อที่ยิ่งใหญ่ที่สุดในด้านเทคโนโลยี โปรโตคอลความปลอดภัยเก่า TLS 1.0 และ 1.1 จะถูกลบออกใน Safari, Edge, Internet Explorer, Firefox และ Chrome ในปี 2020
Apple, Microsoft, Mozilla และ Google ได้ร่วมมือกันเพื่อกำจัดอินเทอร์เน็ตของโปรโตคอลที่เก่าและผิดพลาดเหล่านี้โดยสังเกตว่าตอนนี้คนส่วนใหญ่ย้ายไปใช้ TLS 1.2 แล้วหากไม่ใช่ TLS 1.3
แม้ว่า 94 เปอร์เซ็นต์ของไซต์จะเข้ากันได้กับเวอร์ชัน 1.2ระยะเวลาของการปลอมแปลงในอีก 18 เดือนข้างหน้าจะทำให้ทุกคนมีโอกาสติดตาม
นักพัฒนาของเบราว์เซอร์ Firefox, Chrome, Edge และ Safari เตือนถึงการยุติการสนับสนุนโปรโตคอล TLS 1.0 และ TLS 1.1 ที่ใกล้เข้ามา:
- ใน Firefox การสนับสนุน TLS 1.0 / 1.1 จะถูกยกเลิกในเดือนมีนาคม 2020 แต่โปรโตคอลเหล่านี้จะถูกปิดใช้งานก่อนหน้านี้ในเวอร์ชันทดลองใช้และเวอร์ชันทุกคืน
- ใน Chrome การสนับสนุน TLS 1.0 / 1.1 จะถูกยกเลิกใน Google Chrome เวอร์ชัน 81 ซึ่งคาดว่าจะมีขึ้นในเดือนมกราคม 2020
- ในขณะที่อยู่ใน Google Chrome เวอร์ชัน 72 ซึ่งจะออกในเดือนมกราคม 2019 เมื่อเปิดไซต์ด้วย TLS 1.0 / 1.1 คำเตือนพิเศษเกี่ยวกับการใช้ TLS เวอร์ชันที่ล้าสมัยจะแสดงขึ้น การตั้งค่าที่ทำให้สามารถคืนการสนับสนุน TLS 1.0 / 1.1 จะยังคงอยู่จนถึงเดือนมกราคม 2021
- ในเว็บเบราว์เซอร์ Safari และโปรแกรม WebKit การสนับสนุน TLS 1.0 / 1.1 จะหยุดให้บริการในเดือนมีนาคม 2020
- ในขณะที่อยู่ในเว็บเบราว์เซอร์ Microsoft Edge และ Internet Explorer 11 คาดว่าจะมีการลบ TLS 1.0 และ TLS 1.1 ในช่วงครึ่งแรกของปี 2020
ข้อกำหนด TLS 1.0 ได้รับการเผยแพร่ในเดือนมกราคม 1999 เจ็ดปีต่อมาการอัปเดต TLS 1.1 ได้รับการเผยแพร่พร้อมกับการปรับปรุงความปลอดภัยที่เกี่ยวข้องกับการสร้างเวกเตอร์การเริ่มต้นและเวกเตอร์ช่องว่างที่เพิ่มขึ้น
ปัจจุบัน Internet Engineering Task Force (IETF) ซึ่งเกี่ยวข้องกับการพัฒนาสถาปัตยกรรมอินเทอร์เน็ตและโปรโตคอล ได้เผยแพร่ข้อกำหนดฉบับร่างที่ทำให้โปรโตคอล TLS 1.0 / 1.1 ล้าสมัยแล้ว
หลังจาก 20 ปีที่มันยังคงยืนอยู่คือ เหตุผลประการหนึ่งที่คาดว่า IETF จะ (หน่วยงานวิศวกรรมอินเทอร์เน็ต) ไม่อนุมัติโปรโตคอลอย่างเป็นทางการในปลายปีนี้แม้ว่าจะยังไม่มีการประกาศใด ๆ ก็ตาม
ผู้ใช้และเซิร์ฟเวอร์ส่วนใหญ่ใช้ TLS 1.2+ อยู่แล้ว
เปอร์เซ็นต์ของคำขอที่ใช้ TLS 1.0 บนเว็บคือ 0,4% สำหรับผู้ใช้ Chrome และ 1% สำหรับผู้ใช้ Firefox
จากไซต์ที่ใหญ่ที่สุด 2 ล้านแห่งที่ Alexa จัดอันดับมีเพียง 1.0% เท่านั้นที่ จำกัด ไว้ที่ TLS 0.1 และ 1.1% - TLS XNUMX
ตามสถิติของ Cloudflare ประมาณ 9,3% ของคำขอผ่านเครือข่ายการจัดส่งเนื้อหาของ Cloudflare ทำโดยใช้ TLS 1.0 TLS 1.1 ถูกใช้ใน 0,2% ของกรณี
ตามที่ บริษัท ผู้ให้บริการข้อมูล SSL โปรโตคอล Pulse Qualys TLS 1.2 รองรับ 94% ของเว็บไซต์ทำให้สามารถตั้งค่าการเชื่อมต่อที่ปลอดภัยได้
“ สองทศวรรษเป็นเวลาที่ยาวนานสำหรับเทคโนโลยีความปลอดภัยที่ยังคงไม่เปลี่ยนแปลง แม้ว่าเราจะไม่ทราบถึงช่องโหว่ที่สำคัญจากการใช้งาน TLS 1.0 และ TLS 1.1 ที่อัปเดต แต่ก็มีการใช้งานของบุคคลที่สามที่มีช่องโหว่ "Kyle กล่าว Pflug ผู้จัดการโปรแกรมอาวุโสของ Microsoft Edge
ข้อมูล Mozilla รวบรวมผ่านทางโทรมาตรที่ Firefox แสดงให้เห็นว่ามีการสร้างการเชื่อมต่อที่ปลอดภัยเพียง 1.11% โดยใช้โปรโตคอล TLS 1.0 สำหรับ TLS 1.1 ตัวเลขนี้คือ 0.09% สำหรับ TLS 1.2 - 93.12% สำหรับ TLS 1.3 - 5.68%
ปัญหาหลักใน TLS 1.0 / 1.1 คือการขาดการสนับสนุนสำหรับการเข้ารหัสที่ทันสมัย (เช่น ECDHE และ AEAD) และข้อกำหนดในการสนับสนุนการเข้ารหัสแบบเก่าความน่าเชื่อถือซึ่งถูกตั้งคำถามในขั้นตอนปัจจุบันของการพัฒนาคอมพิวเตอร์ (เช่นการรองรับ TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA คือ จำเป็นต้องตรวจสอบ)
การสนับสนุนอัลกอริทึมเดิมได้นำไปสู่การโจมตีเช่น ROBOT, DROWN, BEAST, Logjam และ FREAK
อย่างไรก็ตามปัญหาเหล่านี้ไม่ใช่ช่องโหว่ของโปรโตคอลโดยตรงและถูกปิดที่ระดับการนำไปใช้งาน
โปรโตคอล TLS 1.0 / 1.1 ไม่มีช่องโหว่ที่สำคัญที่สามารถใช้เพื่อทำการโจมตีในทางปฏิบัติได้