Como một phần của phong trào phối hợp trong số bốn tên tuổi lớn nhất trong lĩnh vực công nghệ, các giao thức bảo mật cũ TLS 1.0 và 1.1 sẽ bị xóa trong Safari, Edge, Internet Explorer, Firefox và Chrome vào năm 2020.
Apple, Microsoft, Mozilla và Google đã hợp tác để xóa các giao thức cũ và bị lỗi này trên Internet, lưu ý rằng hầu hết mọi người hiện đã chuyển sang TLS 1.2, nếu không phải là TLS 1.3.
Mặc dù 94% các trang web đã tương thích với phiên bản 1.2, khoảng thời gian xáo trộn trong 18 tháng tới sẽ giúp mọi người có cơ hội bắt kịp.
Các nhà phát triển trình duyệt Firefox, Chrome, Edge và Safari đã cảnh báo về việc sắp chấm dứt hỗ trợ cho các giao thức TLS 1.0 và TLS 1.1:
- Trong Firefox, hỗ trợ TLS 1.0 / 1.1 sẽ bị ngừng vào tháng 2020 năm XNUMX, nhưng các giao thức này sẽ bị vô hiệu hóa sớm hơn trong các phiên bản dùng thử và hàng đêm.
- Trong Chrome, hỗ trợ TLS 1.0 / 1.1 sẽ bị ngừng kể từ phiên bản Google Chrome 81, dự kiến vào tháng 2020 năm XNUMX.
- Trong khi ở phiên bản Google Chrome 72, sẽ được phát hành vào tháng 2019 năm 1.0, khi mở các trang web có TLS 1.1 / 1.0, cảnh báo đặc biệt về việc sử dụng phiên bản TLS lỗi thời sẽ được hiển thị. Các cài đặt giúp có thể trả lại hỗ trợ cho TLS 1.1 / 2021 sẽ vẫn còn cho đến tháng XNUMX năm XNUMX.
- Trong trình duyệt web Safari và công cụ WebKit, hỗ trợ cho TLS 1.0 / 1.1 sẽ bị ngừng vào tháng 2020 năm XNUMX.
- Trong khi trong trình duyệt web Microsoft Edge và Internet Explorer 11, TLS 1.0 và TLS 1.1 dự kiến sẽ bị loại bỏ vào nửa đầu năm 2020.
Đặc tả TLS 1.0 được phát hành vào tháng 1999 năm 1.1. Bảy năm sau, bản cập nhật TLS XNUMX được phát hành với các cải tiến bảo mật liên quan đến việc tạo vectơ khởi tạo và vectơ đệm tăng dần.
Hiện nay, Lực lượng Đặc nhiệm Kỹ thuật Internet (IETF), có liên quan đến việc phát triển các giao thức và kiến trúc Internet, Nó đã xuất bản một đặc tả dự thảo khiến các giao thức TLS 1.0 / 1.1 trở nên lỗi thời.
Sau 20 năm mà nó vẫn đứng vững là một trong những lý do IETF dự kiến sẽ (Đội Đặc nhiệm Kỹ thuật Internet) chính thức ngừng sử dụng các giao thức vào cuối năm nay, mặc dù chưa có thông báo nào được đưa ra.
Đại đa số người dùng và máy chủ đã sử dụng TLS 1.2+
Tỷ lệ yêu cầu sử dụng TLS 1.0 trên web là 0,4% đối với người dùng Chrome và 1% đối với người dùng Firefox.
Trong số 2 triệu trang web lớn nhất được Alexa xếp hạng, chỉ 1.0% bị giới hạn ở TLS 0.1 và 1.1% - TLS XNUMX.
Theo thống kê của Cloudflare, khoảng 9,3% yêu cầu thông qua mạng phân phối nội dung của Cloudflare được thực hiện bằng TLS 1.0. TLS 1.1 được sử dụng trong 0,2% trường hợp.
Theo công ty dịch vụ dữ liệu SSL, giao thức Pulse Qualys TLS 1.2 hỗ trợ 94% các trang web, cho phép thiết lập kết nối an toàn.
“Hai thập kỷ là một khoảng thời gian dài đối với một công nghệ an toàn không thay đổi. Kyle cho biết: Mặc dù chúng tôi không biết về các lỗ hổng nghiêm trọng khi triển khai cập nhật TLS 1.0 và TLS 1.1, nhưng vẫn có những cách triển khai của bên thứ ba dễ bị tấn công. Pflug, giám đốc chương trình cấp cao tại Microsoft Edge.
Dữ liệu Mozilla được thu thập qua máy đo từ xa tại Firefox cho thấy chỉ 1.11% kết nối an toàn được thiết lập bằng giao thức TLS 1.0. Đối với TLS 1.1, con số này là 0.09%, TLS 1.2 - 93.12%, TLS 1.3 - 5.68%.
Các vấn đề chính với TLS 1.0 / 1.1 là thiếu hỗ trợ cho mật mã hiện đại (ví dụ: ECDHE và AEAD) và yêu cầu hỗ trợ mật mã cũ, độ tin cậy của nó được đặt ra ở giai đoạn phát triển máy tính hiện tại (ví dụ: hỗ trợ cho TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA là bắt buộc phải xác minh).
Hỗ trợ cho các thuật toán kế thừa đã dẫn đến các cuộc tấn công như ROBOT, DROWN, BEAST, Logjam và FREAK.
Tuy nhiên, những vấn đề này không phải là lỗ hổng giao thức trực tiếp và đã được đóng lại ở cấp độ triển khai của chúng.
Các giao thức TLS 1.0 / 1.1 thiếu các lỗ hổng nghiêm trọng có thể được sử dụng để thực hiện các cuộc tấn công thực tế.