科莫 協調運動的一部分 在科技領域的四大巨頭中, 舊的安全協議 TLS 1.0 和 1.1 將於 2020 年在 Safari、Edge、Internet Explorer、Firefox 和 Chrome 中刪除。
蘋果、微軟、Mozilla 和谷歌齊心協力清除互聯網上這些舊的和有缺陷的協議,並指出大多數人現在已經轉向 TLS 1.2(如果不是 TLS 1.3)。
儘管 94% 的網站已經與 1.2 版本兼容,未來18個月的篡改期將給每個人一個迎頭趕上的機會。
Firefox、Chrome、Edge 和 Safari 瀏覽器的開發者警告稱,對 TLS 1.0 和 TLS 1.1 協議的支持即將終止:
- 在Firefox中,將在1.0年1.1月停止對TLS 2020 / XNUMX的支持,但這些協議將在試用版和夜間版中更早地被禁用。
- 在Chrome中,TLS 1.0 / 1.1支持將從Google Chrome版本81(將在2020年XNUMX月發布)中停止提供。
- 在72年2019月發布的Google Chrome版本1.0中,當使用TLS 1.1 / 1.0打開網站時,將顯示有關使用TLS的過時版本的特殊警告。 可以返回對TLS 1.1 / 2021的支持的設置將保留到XNUMX年XNUMX月。
- 在Safari Web瀏覽器和WebKit引擎中,將在1.0年1.1月停止對TLS 2020 / XNUMX的支持。
- 在Microsoft Edge Web瀏覽器和Internet Explorer 11中,預計將在1.0年上半年刪除TLS 1.1和TLS 2020。
TLS 1.0 規範於 1999 年 1.1 月發布。七年後,發布了 TLS XNUMX 更新,其中對與初始化向量和增量填充向量的生成相關的安全性進行了改進。
目前, 互聯網工程任務組(IETF),參與開發互聯網協議和架構, 已經發布了一份規範草案,使 TLS 1.0 / 1.1 協議變得過時。
20年後,依然屹立不倒的是 預計 IETF 的原因之一 (互聯網工程任務組) 今年晚些時候正式否決該協議,雖然目前還沒有這方面的公告。
絕大多數用戶和服務器已經使用 TLS 1.2+
Chrome 用戶在網絡上使用 TLS 1.0 的請求百分比為 0,4%,Firefox 用戶為 1%。
在 Alexa 評級的 2 萬個最大網站中,只有 1.0% 僅限於 TLS 0.1,1.1% 僅限於 TLS XNUMX。
根據 Cloudflare 的統計數據,通過 Cloudflare 內容交付網絡的請求中約有 9,3% 是使用 TLS 1.0 發出的。 1.1% 的情況使用 TLS 0,2。
根據SSL服務公司Pulse Qualys的數據,1.2%的網站支持TLS 94協議,允許安全連接設置。
“對於一項安全技術來說,二十年是一段很長的時間,要保持不變。 雖然我們不知道我們更新的 TLS 1.0 和 TLS 1.1 實現存在任何重大漏洞,但存在易受攻擊的第三方實現,”Kyle 說。 Pflug,Microsoft Edge 的高級項目經理。
Mozilla 通過遙測收集的數據 Firefox 顯示只有 1.11% 的安全連接是使用 TLS 1.0 協議建立的。 對於 TLS 1.1,該數字為 0.09%,對於 TLS 1.2,該數字為 93.12%,對於 TLS 1.3,該數字為 5.68%。
TLS 1.0 / 1.1 的主要問題是缺乏對現代密碼(例如 ECDHE 和 AEAD)的支持,並且需要支持舊密碼,其可靠性在計算機發展的現階段受到質疑(例如需要支持 TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA 來驗證它)。
對遺留算法的支持已經導致了諸如 ROBOT 、 DROWN 、 BEAST 、 Logjam 和 FREAK 等攻擊。
然而,這些問題並不是直接的協議漏洞,而是在其實現層面上被解決的。
TLS 1.0 / 1.1 協議缺乏可用於實施實際攻擊的嚴重漏洞。