Como bahagi ng isang pinag-ugnay na kilusan kabilang sa apat sa mga pinakamalaking pangalan sa teknolohiya, ang mga lumang security protocol na TLS 1.0 at 1.1 ay aalisin sa Safari, Edge, Internet Explorer, Firefox at Chrome sa 2020.
Ang Apple, Microsoft, Mozilla, at Google ay nakipagtulungan upang linisin ang internet ng mga luma at may sira na mga protokol na ito, na ang karamihan sa mga tao ay lumipat na sa TLS 1.2, kung hindi TLS 1.3.
Bagaman 94 porsyento ng mga site ay tugma na sa bersyon 1.2, isang panahon ng panghihimasok sa susunod na 18 buwan ay magbibigay sa lahat ng pagkakataon na makahabol.
Nagbabala ang mga tagabuo ng mga browser ng Firefox, Chrome, Edge at Safari tungkol sa napipintong pagwawakas ng suporta para sa mga protokol ng TLS 1.0 at TLS 1.1:
- Sa Firefox, ang suporta ng TLS 1.0 / 1.1 ay ihihinto sa Marso 2020, ngunit ang mga protocol na ito ay hindi paganahin nang mas maaga sa pagsubok at mga nightly na bersyon.
- Sa Chrome, ang suporta ng TLS 1.0 / 1.1 ay ihihinto simula sa Google Chrome bersyon 81, na inaasahan sa Enero 2020.
- Habang nasa Google Chrome bersyon 72, na ilalabas sa Enero 2019, kapag binubuksan ang mga site na may TLS 1.0 / 1.1, isang espesyal na babala tungkol sa paggamit ng hindi napapanahong bersyon ng TLS ay ipapakita. Ang mga setting na ginagawang posible upang ibalik ang suporta para sa TLS 1.0 / 1.1 ay mananatili hanggang Enero 2021.
- Sa Safari web browser at sa WebKit engine, ang suporta para sa TLS 1.0 / 1.1 ay ihihinto sa Marso 2020.
- Habang nasa web browser ng Microsoft Edge at Internet Explorer 11, ang pagtanggal ng TLS 1.0 at TLS 1.1 ay inaasahan sa unang kalahati ng 2020.
Ang pagtutukoy ng TLS 1.0 ay inilabas noong Enero 1999. Pagkalipas ng pitong taon, ang pag-update ng TLS 1.1 ay pinakawalan na may mga pagpapahusay sa seguridad na nauugnay sa pagbuo ng mga inisyal na mga vector at incremental padding vector.
sa kasalukuyan, ang Internet Engineering Task Force (IETF), na kasangkot sa pagbuo ng arkitektura at mga protokol sa Internet, Nakapaglathala na ito ng isang detalye ng draft na nag-render ang mga TLS 1.0 / 1.1 na mga protocol na lipas na.
Pagkatapos ng 20 taon kung saan ito ay nakatayo pa rin ay isa sa mga kadahilanang inaasahan ang IETF (Puwersa ng gawain sa Internet Engineering) opisyal na hindi aprubahan ang mga protocol sa paglaon ng taong ito, kahit na wala pang anunsyo na nagawa.
Ang karamihan ng mga gumagamit at server ay gumagamit na ng TLS 1.2+
Ang porsyento ng mga kahilingan na gumagamit ng TLS 1.0 sa web ay 0,4% para sa mga gumagamit ng Chrome at 1% para sa mga gumagamit ng Firefox.
Sa 2 milyong pinakamalaking mga site na na-rate ng Alexa, 1.0% lamang ang limitado sa TLS 0.1 at 1.1% - TLS XNUMX.
Ayon sa mga istatistika ng Cloudflare, humigit-kumulang na 9,3% ng mga kahilingan sa pamamagitan ng network ng paghahatid ng nilalaman ng Cloudflare ay ginawa gamit ang TLS 1.0. Ang TLS 1.1 ay ginagamit sa 0,2% ng mga kaso.
Ayon sa kumpanya ng serbisyo ng data ng SSL na Pulse Qualys TLS 1.2 na suporta ng protokol sa 94% ng mga website, pinapayagan ang ligtas na setting ng koneksyon.
"Ang dalawang dekada ay isang mahabang panahon para sa isang teknolohiyang pangkaligtasan upang manatiling hindi nagbabago. Habang hindi namin alam ang mga makabuluhang kahinaan sa aming na-update na pagpapatupad ng TLS 1.0 at TLS 1.1, may mga mahihinang pagpapatupad ng third-party, "sabi ni Kyle. Pflug, senior program manager sa Microsoft Edge.
Nakolekta ang datos ng Mozilla sa pamamagitan ng telemetry sa Ipinapakita ng Firefox na 1.11% lamang ng mga ligtas na koneksyon ang naitatag gamit ang TLS 1.0 na protocol. Para sa TLS 1.1, ang bilang na ito ay 0.09%, para sa TLS 1.2 - 93.12%, para sa TLS 1.3 - 5.68%.
Ang mga pangunahing isyu sa TLS 1.0 / 1.1 ay ang kakulangan ng suporta para sa mga modernong cipher (hal. ECDHE at AEAD) at ang kinakailangang suportahan ang mga lumang cipher, ang pagiging maaasahan nito ay tinanong sa kasalukuyang yugto ng pag-unlad ng computer (hal., Suporta para sa TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA ay kinakailangan upang i-verify).
Ang suporta para sa mga legacy algorithm ay humantong sa mga pag-atake tulad ng ROBOT, LUNOD, BEAST, Logjam, at FREAK.
Gayunpaman, ang mga isyung ito ay hindi direktang mga kahinaan ng protocol at isinara sa antas ng kanilang pagpapatupad.
Ang mga TLS 1.0 / 1.1 na mga protocol ay kulang sa mga kritikal na kahinaan na maaaring magamit upang maisagawa ang mga praktikal na pag-atake.