L'Internet Engineering Task Force (IETF), que desenvolupa protocols i arquitectura d'Internet, ha publicat la RFC 8996, que deixa oficialment en desús TLS 1.0 i 1.1.
L'especificació TLS 1.0 es va publicar el gener de 1999. Set anys més tard, es va llançar TLS 1.1 amb millores de seguretat relacionades amb la generació de vectors d'inicialització i farciment. Segons el servei SSL A data de 16 de gener, Pulse va descobrir que el 95.2% dels llocs web que admeten connexions segures admeten TLS 1.2, mentre que el 14.2% admeten TLS 1.3. El 77.4% dels llocs HTTPS admeten connexions TLS 1.1, mentre que el 68% admeten TLS 1.0. Aproximadament el 21% dels 100 primers llocs classificats per Alexa encara no utilitzen HTTPS.
Els principals problemes de TLS 1.0/1.1 són la manca de suport per a xifratges moderns (per exemple, ECDHE i AEAD) i la presència a l'especificació d'un requisit per donar suport a xifrats antics, la fiabilitat dels quals es qüestiona en l'etapa actual de desenvolupament. de tecnologia informàtica (per exemple, es requereix suport per a TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA per a la verificació d'integritat i s'utilitzen l'autenticació MD5 i SHA-1). El suport per a algorismes obsolets ja ha provocat atacs com ROBOT, DROWN, BEAST, Logjam i FREAK. No obstant això, aquests problemes no es consideraven directament vulnerabilitats del protocol i es van resoldre a nivell de les seves implementacions. Els protocols TLS 1.0/1.1 no tenen vulnerabilitats crítiques que es puguin explotar per dur a terme atacs pràctics.
Font: opennet.ru
