主流瀏覽器計劃2020年棄用TLS 1.0和TLS 1.1
所有主流網路瀏覽器(包括谷歌Chrome,蘋果Safari, Microsoft Edge, Internet Explorer和Mozilla Firefox)10月16日宣佈即將取消對TLS 1.0和TLS 1.1通訊加密協議的支援。
傳輸層安全協議(Transport Layer Security, 簡稱TLS)最初作為安全套接字層(Secure Sockets Layer, SSL)協議被開發,是一種更新的加密協議,被用於在客戶端和伺服器之間建立安全加密的通訊通道。TLS協議目前有4個版本——TLS 1.0、1.1、1.2和1.3(最新版本),而舊版本TLS 1.0和1.1容易受到一些已知的嚴重攻擊,例如POODLE和BEAST。
過去由於主流web瀏覽器和應用程式中的TLS實現都支援降級協商過程,導致即使伺服器支援最新版本,攻擊者也有機會利用較弱的協議實施攻擊。到2020年,所有主流Web瀏覽器都將取消TLS 1.0和TLS 1.1的支援。根據谷歌、微軟、蘋果和Mozilla四大公司釋出的公告,他們的網路瀏覽器將在2020年上半年完全放棄對TLS 1.0和1.1的預設支援。
TLS 1.2於10年釋出,開發目的即解決TLS 1.0和1.1的缺陷。自那以後,TLS 1.2得到了廣泛的採用,加上TLS 1.3尚在開發階段,TLS 1.2成為預設的TLS版本。
微軟表示,隨著TLS 1.0的不斷老化,許多網站轉向使用新版本的協議。目前,94%的站點已經支援TLS 1.2,而Microsoft Edge中只有不到1%的日常連線使用TLS 1.0或1.1。
“從安全技術的生命週期角度看,20年確實是漫長的。雖然我們不知道TLS 1.0和TLS 1.1的最新的嚴重漏洞,但確實有可被第三方利用的空隙。遷移到更新版本有助於確保為所有人提供更安全的網路環境。我們預計IETF將在今年正式棄用TLS 1.0和1.1,屆時IETF將不再解決這些版本中的協議漏洞。”
另外,蘋果聲稱TLS 1.2是其平臺上的標準,佔Safari TLS連線的99.6%,而TLS 1.0和1.1所佔比例不到0.36%。而目前谷歌的Chrome也只有0.5%的HTTPS連線使用TLS 1.0或1.1。Gitlab也於10月15日宣佈,將棄用TLS 1.0和TLS 1.1的支援,2018年底將不再支援其API基礎設施。