Szerző: Hlács Ferenc

2020. március 5. 11:35

Küszöbön a TLS 1.0 és 1.1 vége, de nem mindenki kész a váltásra

A heteken belül leköszönő, nem biztonságos protokollok helyenként máig használatban vannak.

Közeleg a TLS 1.0 és 1.1 protokollok kivezetésének határideje a legnagyobb böngészőkből, számos weboldal ugyanakkor még mindig nincs felkészülve a váltásra - annak ellenére, hogy az Mozilla, Google, Microsoft és az Apple már 2018-ban bejelentették, hogy 2020-ban a két elavult verzió elveszti támogatását.

A ZDNet által idézett Netcraft kutatócég tanulmánya szerint mintegy 850 ezer weboldal használja továbbra is a HTTPS kapcsolatok létesítéséhez a TLS régi, már nem biztonságos verzióit. Noha ez az érték a teljes internetet tekintve alig látható, illetve már a 2018-as használati statisztikák szerint is 0,5-1 százalék körül alakult a TLS 1.0 és 1.1 együttes részesedése, a helyzetet súlyosbítja, hogy az elemzők szerint az érintett oldalak között bankok, kormányzati weboldalak, híroldalak, online boltok és telekommunikációs szolgáltatók felületei is megtalálhatók. A 850 ezer oldalból mintegy ötezer az Alexa adatbázis legnépszerűbb egymillió weboldalának listáján is ott van.

Sovány vigasz, hogy a cég által vizsgált mindegyik weboldal HTTPS-t használ, miután azonban annak titkosítási tanúsítványai TLS 1.0-ra vagy 1.1-re épülnek korántsem biztosítanak kielégítő védelmet a felhasználók számára. A két verzió ugyanis a törhető MD5 és SHA-1 titkosítási algoritmusokat használja, és ezen túl további gyengeségekkel is rendelkezik, amelyekre az elmúlt években számos online támadás épült, mint a BEAST vagy a POODLE néven ismert sebezhetőségek.

ffxtls

Azt nem mondhatni, hogy a weboldalak gazdáinak ne lett volna idejük a váltásra, a TLS 1.0 kiadása 1996-ban, míg az 1.1-es verzió 2006-ban látott napvilágot, utóbbit pedig aránylag gyorsan, 2008-ban követte a TLS 1.2, 2017 óta pedig a TLS 1.3 is elérhető - utóbbi 2018-ban került a fenti négy tech-óriás böngészőibe. A cégek akkor rögtön be is jelentették a két korábbi verzió támogatásának idei végét. Azóta a böngészők nem bánnak kesztyűs kézzel az elavult protokollokat használó weblapokkal, tavaly elkezdték azokat "nem biztonságosként" jelölni az URL sávban.

Ezt a jelölést váltja a támogatás teljes elkaszálásával egy teljes oldalas figyelmeztetés, mind a négy vállalat böngészőiben, háromban már március folyamán. Az ebben a hónapban érkező Chrome 81 és Firefox 74 is egy egész oldalt elfoglaló üzenetben jelzi majd a felhasználóknak, hogy nem lehet biztonságos kapcsolatot létesíteni az adott webhellyel, illetve a Safariban is márciusban számíthatunk hasonló üzenetekre. A Chromiumra építő Edge április végén, a 82-es kiadással vezeti be azokat.

a címlapról