قام فريق عمل هندسة الإنترنت (IETF)، الذي يقوم بتطوير بروتوكولات الإنترنت وهندستها، بنشر RFC 8996، الذي يتجاهل رسميًا TLS 1.0 و1.1.
نُشرت مواصفات بروتوكول أمان طبقة النقل (TLS) 1.0 في يناير 1999. وبعد سبع سنوات، صدر بروتوكول أمان طبقة النقل (TLS) 1.1 مع تحسينات أمنية تتعلق بإنشاء متجهات التهيئة والحشو. وفقًا للخدمة بروتوكول طبقة المقابس الآمنة (SSL) حتى تاريخ 16 يناير، وجدت شركة Pulse أن 95.2% من المواقع الإلكترونية التي تدعم الاتصالات الآمنة تستخدم بروتوكول TLS 1.2، بينما 14.2% منها تستخدم بروتوكول TLS 1.3. كما أن 77.4% من مواقع HTTPS تستخدم بروتوكول TLS 1.1، في حين أن 68% منها تستخدم بروتوكول TLS 1.0. ولا يزال ما يقارب 21% من أفضل 100 موقع مصنفة حسب تصنيف Alexa لا تستخدم بروتوكول HTTPS.
المشاكل الرئيسية لـ TLS 1.0/1.1 هي عدم وجود دعم للشفرات الحديثة (على سبيل المثال، ECDHE و AEAD) ووجود متطلبات لدعم الأصفار القديمة في المواصفات، والتي يتم التشكيك في موثوقيتها في المرحلة الحالية من التطوير تكنولوجيا الحوسبة (على سبيل المثال، دعم TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA مطلوب للتحقق من التكامل والمصادقة على استخدام MD5 وSHA-1). لقد أدى دعم الخوارزميات القديمة بالفعل إلى هجمات مثل ROBOT وDROWN وBEAST وLogjam وFREAK. ومع ذلك، لم يتم اعتبار هذه المشكلات بمثابة نقاط ضعف في البروتوكول بشكل مباشر وتم حلها على مستوى تطبيقاته. تفتقر بروتوكولات TLS 1.0/1.1 نفسها إلى نقاط الضعف الحرجة التي يمكن استغلالها لتنفيذ هجمات عملية.
المصدر: opennet.ru
