超過 85 萬個網站仍在使用舊的TLS 1. 0 和1. 1 協議,按計劃Chrome、Firefox等大多數主流瀏覽器將於本月晚些時候停止支持舊版協議。 根據英國技術公司Netcraft今天發佈的一份報告,涉及的主要包括銀行、政府、新聞機構、電信、電子商務商店和互聯網社區的網站。
報道稱, 85 萬個網站都使用HTTPS,但是版本太低。因為這些網站都是建立在基於TLS 1. 0 和TLS 1. 1 協議的加密證書的HTTPS連接。
TLS 1. 0 和TLS 1. 1 分別於 1996 年和 2006 年發佈的老版協議,使用的是弱加密算法。而在 2008 年和 2017 年分別發佈了協議的新版本,分為TLS 1. 2 和TLS 1.3,無疑更優於舊版本,使用起來也更安全。
在 2018 年春季TLS 1. 3 版本發佈之後,蘋果、谷歌、Mozilla和微軟四大瀏覽器製造商於 2018 年 10 月聯合宣佈計劃在 2020 年初取消對TLS 1. 0 和TLS 1. 1 的支持。
這些瀏覽器在去年就開始在使用TLS 1. 0 和TLS 1. 1 的網站上貼上標籤,在URL地址欄和鎖定圖標顯示“不安全”標識,暗示用戶HTTPS連接並不像他們想象的那樣安全。
本月晚些時候,當用戶訪問使用TLS 1. 0 或TLS 1. 1 的網站時,瀏覽器將從顯示隱藏警告變成顯示整個頁面錯誤。
TLS 1.0/1.1 網站在Chrome瀏覽器顯示錯誤
報道稱,隨著本月晚些時候Chrome81 和Firefox74 的發佈,採用舊版協議的網站將會顯示網頁錯誤。根據最初的說法,Safari也計劃在本月開始不支持TLS 1.0/1. 1 網站,微軟則將在四月發佈Edge82 版本後取消支持舊版協議。
TLS 1.0/1.1 網站在 Firefox瀏覽器顯示錯誤
根據Netcraft的掃描結果,受影響的網站大約有 85 萬個,其中超過 5000 個為在Alexa前 100 萬個網站中排名。
對此,Netcraft研究人員表示,消除客戶端對這些舊協議的支持是確保其相關漏洞不再構成任何風險的最有效方式。(zdnet)
閱讀更多 白帽子 的文章
