2020-szal vége a TLS 1.0-nak és 1.1-nek
Egyszerre jelentették be a nagy böngészőgyártók, hogy befejezik a TLS sebezhető verzióinak, az 1.0-nak és az 1.1-nek a támogatását. A határidő viszont meglepően távoli, egészen 2020 márciusáig várnak a kivezetéssel.
Egységesen kivezetik a TLS korai, 1.0-s és 1.1-es verzióinak támogatását a nagyobb böngészők, jelentette be az Apple, a Google, a Microsoft és a Mozilla. A közös fellépés eredményeképp 2020 márciusától a böngészők elutasítják majd a protokoll használatát. Helyette a TLS 1.2-re illetve a vadonatúj TLS 1.3-ra átállást javasolják a szereplőknek. A TLS (Transport Layer Security) protokoll felel a titkosított webes kapcsolatokért, ez diktálja a kliensnek és a szervernek a HTTPS-hez szükséges titkosítás felépítéséhez szükséges lépéseket.
Az általános kivezetés meglehetősen távoli időpontot kapott annak ellenére, hogy a szabványos protokollt már ma is alig használják. A használati statisztikák szerint 0,5-1 százalék körüli a TLS 1.0 és 1.1 együttes részesedése, így a távoli jövőbe, mintegy 16 hónapra kitolt határidő roppant nagyvonalú. Bizonyos kontextusban persze ez is szélsebesnek számít: a régi protokollt használó, webes felületen keresztül elérhető vállalati rendszerek lecserélésére a 16 hónap nem is olyan sok.
Apple, Google, Microsoft, Mozilla, plusz az IETF
Az Apple használati statisztikát is közöl, a cég telemetriája szerint a kapcsolatoknak mindössze 0,36 százalékát adják ma az elavult protokollok. A cég várakozása szerint ez az arány a TLS 1.3 elfogadásával tovább zsugorodik majd. A cég tervei szerint a macOS és az iOS 2020 márciusi frissítéssel távolítja majd el a régi TLS-verziók támogatását, így sem a Macek, sem az iPhone-ok/iPadek nem kapcsolódnak majd az ilyen szerverekhez.
A Google bejelentése szerint a Chrome 72-vel kerül "deprecated" (támogatásvesztésre jelölt) státuszba a két fenti protokoll, a fejlesztői konzolon már hibát fog jelezni a böngésző. A Chrome 81-gyel pedig ténylegesen meg is szűnik a támogatás. A cég felhívja arra is a figyelmet, hogy a TLS 1.0 már nem PCI-DSS megfelelő. A tervek szerint a többieknél valamivel hamarabb, 2020 januárjában dobja el a Chrome a támogatást.
A Microsoft közlése szerint a Edge és az Internet Explorer 11 is elveszíti a protokollok támogatását az egyeztetett időpontban. A támogatott böngészőknél egy frissítéssel alapértelmezésben kikapcsolja a TLS 1.0 és 1.1 elfogadását a vállalat. A Microsoft teljesen feleslegesen ködösít még a protokoll biztonságával kapcsolatban: "Ugyan nem tudunk jelentős sebezhetőségről a saját TLS 1.0 és 1.1 implementációinkban, sebezhető külső implementációk léteznek." A csavar a "jelentős sebezhetőség", a kivezetésre ítélt TLS-verziók ugyanis a törhető MD5 és SHA-1 titkosítási algoritmusokat használják, és ezen túl további gyengeségekkel is rendelkeznek. Ezek a protokoll részei és implementáció-függetlenek, a Microsoft valamiért mégis úgy érezte, hogy hamis biztonságérzetbe kell ringatnia a felhasználókat.
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
A Mozilla is óvatosan fogalmaz a biztonság kapcsán: "Ugyan konkrét, azonnali lépést igénylő problémáról nem tudunk az TLS 1.0 esetében, a protokoll bizonyos elemei nem olyan erősek, mint ahogy szeretnénk, a mai internet természetét figyelembe véve." A Mozilla azt emeli ki, hogy a TLS 1.0 legnagyobb baja, hogy nem támogatja a modern kriptográfiai algoritmusokat.
A böngészőgyártók az IETF-fel közösen lépnek. Az internetes szabványokért felelős testület már elkészítette a két TLS-verzió kivezetésének tervezetét, amely elfogadás esetén formálisan is megvonja a támogatást (deprecate) ettől a két protokolltól. A javaslat egyértelműen kimondja, hogy a TLS 1.0 és 1.1 használata "must not" kategóriás, vagyis kimondottan tiltott a protokoll használata. Ugyanezt tartalmazza a tervezet az SHA-1-re vonatkozóan is (legalábbis aláírás-hash szerepében).
Biztonság és sebesség
A régi TLS-verziók kivezetése mellett szóló egyik érv a HTTPS-kapcsolatok biztonsága. A másik, szintén fontos elem viszont a teljesítmény: a HTTP/2 használatát ugyanis ezek a protokollok nem támogatják, az új generációs megoldáshoz legalább TLS 1.2 szükséges. A TLS 1.3 egyébként még gyorsabb kézfogást ír elő, vagyis önmagában ez a változás is jelentősen csökkenti a webes alkalmazások reakcióidejét és betöltődését.