Como koordineli bir hareketin parçası teknolojideki en büyük dört isim arasında, Eski güvenlik protokolleri TLS 1.0 ve 1.1 2020'de Safari, Edge, Internet Explorer, Firefox ve Chrome'da kaldırılacaktır.
Apple, Microsoft, Mozilla ve Google bu eski ve hatalı protokollerin internetini temizlemek için bir araya geldi ve çoğu insanın artık TLS 1.2 olmasa da TLS 1.3'ye geçtiğine dikkat çekti.
Sitelerin yüzde 94'ü zaten sürüm 1.2 ile uyumlu olsa da, önümüzdeki 18 ay boyunca bir kurcalama dönemi, herkese yetişme şansı verecektir.
Firefox, Chrome, Edge ve Safari tarayıcılarının geliştiricileri, TLS 1.0 ve TLS 1.1 protokolleri için desteğin yakında sona ereceği konusunda uyardı:
- Firefox'ta TLS 1.0 / 1.1 desteği Mart 2020'de sona erecek, ancak bu protokoller deneme ve gece sürümlerinde daha önce devre dışı bırakılacak.
- Chrome'da, Ocak 1.0'de beklenen Google Chrome sürüm 1.1'den itibaren TLS 81 / 2020 desteği sona erecek.
- Ocak 72'da piyasaya sürülecek olan Google Chrome sürüm 2019'de TLS 1.0 / 1.1 ile siteler açılırken TLS'nin eski sürümünün kullanılmasıyla ilgili özel bir uyarı görüntülenecek. TLS 1.0 / 1.1 için destek döndürmeyi mümkün kılan ayarlar Ocak 2021'e kadar kalacaktır.
- Safari web tarayıcısında ve WebKit motorunda, TLS 1.0 / 1.1 desteği Mart 2020'de sona erecek.
- Microsoft Edge web tarayıcısı ve Internet Explorer 11'deyken, 1.0'nin ilk yarısında TLS 1.1 ve TLS 2020'in kaldırılması bekleniyor.
TLS 1.0 spesifikasyonu, Ocak 1999'da yayınlandı. Yedi yıl sonra, TLS 1.1 güncellemesi, başlatma vektörlerinin ve artımlı dolgu vektörlerinin oluşturulmasıyla ilgili güvenlik geliştirmeleriyle birlikte yayınlandı.
Şu anda, İnternet mimarisi ve protokollerinin geliştirilmesinde yer alan İnternet Mühendisliği Görev Gücü (IETF), TLS 1.0 / 1.1 protokollerini geçersiz kılan bir taslak şartname yayınladı.
Hala ayakta olduğu 20 yıldan sonra IETF'in beklenen nedenlerden biri (İnternet Mühendisliği Görev Gücü) bu yılın ilerleyen zamanlarında protokolleri resmen onaylamadıhenüz bir açıklama yapılmamasına rağmen.
Kullanıcıların ve sunucuların büyük çoğunluğu zaten TLS 1.2+ kullanıyor
Web'de TLS 1.0 kullanan isteklerin yüzdesi Chrome kullanıcıları için% 0,4 ve Firefox kullanıcıları için% 1'dir.
Alexa tarafından derecelendirilen 2 milyon en büyük sitenin yalnızca% 1.0'si TLS 0.1 ve% 1.1 - TLS XNUMX ile sınırlıdır.
Cloudflare istatistiklerine göre, Cloudflare'nin içerik dağıtım ağı üzerinden taleplerin yaklaşık% 9,3'ü TLS 1.0 kullanılarak yapılmaktadır. TLS 1.1, vakaların% 0,2'sinde kullanılmaktadır.
SSL veri hizmeti şirketi Pulse Qualys TLS 1.2 protokolüne göre, web sitelerinin% 94'ünü destekleyerek güvenli bağlantı ayarına izin verir.
“Yirmi yıl, bir güvenlik teknolojisinin değişmeden kalması için uzun bir süredir. Güncellenmiş TLS 1.0 ve TLS 1.1 uygulamalarımızdaki önemli güvenlik açıklarının farkında olmasak da, savunmasız üçüncü taraf uygulamaları var ”dedi Kyle. Microsoft Edge'de kıdemli program yöneticisi olan Pflug.
Telemetri aracılığıyla toplanan Mozilla verileri Firefox, güvenli bağlantıların yalnızca% 1.11'inin TLS 1.0 protokolü kullanılarak kurulduğunu gösteriyor. TLS 1.1 için bu rakam% 0.09, TLS için% 1.2 -% 93.12, TLS için% 1.3 - 5.68'dir.
TLS 1.0 / 1.1 ile ilgili ana sorunlar, modern şifrelere (örn. ECDHE ve AEAD) yönelik destek eksikliği ve güvenilirliği bilgisayar geliştirmenin mevcut aşamasında sorgulanan eski şifreleri destekleme gerekliliğidir (örn., TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA desteği doğrulamak için gereklidir).
Eski algoritmalar için destek, ROBOT, DROWN, BEAST, Logjam ve FREAK gibi saldırılara yol açtı.
Ancak bu sorunlar doğrudan protokol güvenlik açıkları değildi ve uygulamaları düzeyinde kapatıldı.
TLS 1.0 / 1.1 protokolleri, pratik saldırılar gerçekleştirmek için kullanılabilecek kritik güvenlik açıklarından yoksundur.