所有主流网络浏览器(包括谷歌Chrome,苹果Safari, Microsoft Edge, Internet Explorer和Mozilla Firefox)10月16日宣布即将取消对TLS 1.0和TLS 1.1通信加密协议的支持。
传输层安全协议(Transport Layer Security, 简称TLS)最初作为安全套接字层(Secure Sockets Layer, SSL)协议被开发,是一种更新的加密协议,被用于在客户端和服务器之间建立安全加密的通信通道。TLS协议目前有4个版本——TLS 1.0、1.1、1.2和1.3(最新版本),而旧版本TLS 1.0和1.1容易受到一些已知的严重攻击,例如POODLE和BEAST。
过去由于主流web浏览器和应用程序中的TLS实现都支持降级协商过程,导致即使服务器支持最新版本,攻击者也有机会利用较弱的协议实施攻击。到2020年,所有主流Web浏览器都将取消TLS 1.0和TLS 1.1的支持。根据谷歌、微软、苹果和Mozilla四大公司发布的公告,他们的网络浏览器将在2020年上半年完全放弃对TLS 1.0和1.1的默认支持。
TLS 1.2于2010年发布,开发目的即解决TLS 1.0和1.1的缺陷。自那以后,TLS 1.2得到了广泛的采用,加上TLS 1.3尚在开发阶段,TLS 1.2成为默认的TLS版本。
微软表示,随着TLS 1.0的不断老化,许多网站转向使用新版本的协议。目前,94%的站点已经支持TLS 1.2,而Microsoft Edge中只有不到1%的日常连接使用TLS 1.0或1.1。
“从安全技术的生命周期角度看,20年确实是漫长的。虽然我们不知道TLS 1.0和TLS 1.1的最新的严重漏洞,但确实有可被第三方利用的空隙。迁移到更新版本有助于确保为所有人提供更安全的网络环境。我们预计IETF将在今年正式弃用TLS 1.0和1.1,届时IETF将不再解决这些版本中的协议漏洞。”
另外,苹果声称TLS 1.2是其平台上的标准,占Safari TLS连接的99.6%,而TLS 1.0和1.1所占比例不到0.36%。而目前谷歌的Chrome也只有0.5%的HTTPS连接使用TLS 1.0或1.1。Gitlab也于10月15日宣布,将弃用TLS 1.0和TLS 1.1的支持,2018年底将不再支持其API基础设施。
声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。