從2020年3月起,停止支持TLS 1.1及TLS 1.0版本安全協議。
屆時谷歌(Chrome)、Mozilla(Firefox)、微軟(IE和Edge) 、蘋果(Safari) 都會發布新版瀏覽器執行這個策略。
超過850,000個網站仍使用過時的TLS 1.0和1.1協議。
超過850,000個網站仍使用舊的TLS 1.0和1.1協議,該協議計劃於本月晚些時候從大多數主流瀏覽器中刪除。
英國技術公司Netcraft今天發佈的一份報告顯示,這包括主要銀行,政府,新聞機構,電信,電子商務商店和互聯網社區的網站。
所有850,000個網站都使用HTTPS,但該版本的功能很弱。這些網站通過基於TLS 1.0和TLS 1.1協議構建的加密證書支持HTTPS連接。
這些是古老的協議,分別於1996年和2006年發佈。該協議使用弱密碼算法,並且容易受到過去二十年來公開的一系列密碼攻擊的攻擊,例如BEAST,LUCKY 13,SWEET 32,CRIME和POODLE。這些攻擊使攻擊者可以解密HTTPS並訪問用戶的純文本Web流量。
這些協議的新版本分別於2008年(TLS 1.2)和2017年(TLS 1.3)發行,它們被認為比TLS 1.0和TLS 1.1更好,更安全。
兩年前宣佈刪除TLS 1.0和TLS 1.1
在TLS 1.3於2018年春季發佈之後,四個瀏覽器製造商- 蘋果,谷歌,Mozilla和微軟 -齊心協力並於2018年10月共同宣佈了計劃在2020年初取消對TLS 1.0和TLS 1.1的支持。
棄用的第一階段始於去年,當時瀏覽器開始使用URL地址欄中的“不安全”指示符和鎖定圖標來標記使用TLS 1.0和TLS 1.1的網站,從而向用戶暗示HTTPS連接的安全性不高正如他們所想象的那樣。
本月晚些時候,當用戶訪問使用TLS 1.0或TLS 1.1的網站時,瀏覽器將從顯示隱藏警告變為顯示整頁錯誤。
這些全頁錯誤計劃在本月晚些時候發佈的Chrome 81和Firefox 74中發佈。根據Safari 最初發布的消息,他們也計劃於本月發佈TLS 1.0和1.1 。
微軟將在4月底發佈(基於Chromium的Edge 82)。
根據Netcraft的掃描,受影響的站點數量約為850,000,其中有超過5,000個在Alexa前100萬站點中排名。
Netcraft研究人員說: “取消對這些較舊協議的客戶端支持是確保其相關漏洞不再構成任何風險的最有效方法。”
TLS的發展歷程
1994年,NetScape公司設計了SSL協議(Secure Sockets Layer)的1.0版,但是未發佈。
● 1995年,NetScape公司發佈SSL 2.0版,很快發現有嚴重漏洞。
● 1996年,SSL 3.0版問世,得到大規模應用。
● 1999年,SSL的升級版TLS 1.0版,TLS 1.0協議誕生
● 2006 年,TLS 1.1 協議正式面世
● 2008 年,TLS 1.2協議正式發佈
● 2019年,IETF(互聯網工程任務組)在8月正式發佈了TLS 1.3,代表了整體安全上的大飛躍
● 2019年,支付卡產業數據安全標準(PCI DSS)強制取消了支付卡行業對TLS 1.0的支持,同時強烈建議取消對TLS 1.1的支持。
● 2020年,谷歌 Chrome、微軟 IE、蘋果Safari、火狐Firefox停止支持TLS 1.1及TLS 1.0版本安全協議, TLS 1.2成為默認的設置。
TLS 1.0和TLS 1.1協議為何逐漸被摒棄?
最主要的原因:極不安全。TLS協議目前有4個版本——TLS1.0、1.1、1.2和1.3(最新版本)。TLS 1.0和TLS 1.1這兩個舊版本協議使用的是過時的算法和加密系統,比如SHA-1和MD5,這些算法和系統十分脆弱,存在重大安全漏洞,容易受到降級攻擊的嚴重影響,例如POODLE和BEAST。
蘋果、谷歌和微軟都表示,這一決定產生的影響可能是微乎其微的,因為Safari、Chrome、Edge和Internet Explorer瀏覽器的連接只有很少一部分仍然在使用TLS 1.0或TLS 1.1。到目前為止,由於大多數網站都支持TLS 1.2或TLS 1.3版本協議,所以除了部分長久沒有更新架構的行業服務器外,一般互聯網用戶的瀏覽不會遇到太大問題。
閱讀更多 GDCA數安時代 的文章
