گروه وظیفه مهندسی اینترنت (IETF) که پروتکلها و معماری اینترنت را توسعه میدهد، RFC 8996 را منتشر کرده است که رسماً TLS 1.0 و 1.1 را منسوخ میکند.
مشخصات TLS 1.0 در ژانویه 1999 منتشر شد. هفت سال بعد، بهروزرسانی TLS 1.1 با بهبودهای امنیتی مربوط به تولید بردارهای اولیه و padding منتشر شد. طبق سرویس SSL Pulse، از تاریخ 16 ژانویه، پروتکل TLS 1.2 توسط 95.2٪ از وب سایت هایی که امکان برقراری اتصالات امن را فراهم می کنند، و TLS 1.3 - با 14.2٪ پشتیبانی می شود. اتصالات TLS 1.1 توسط 77.4 درصد از سایت های HTTPS پذیرفته می شود، در حالی که اتصالات TLS 1.0 توسط 68 درصد پذیرفته می شود. تقریباً 21٪ از 100 هزار سایت اول منعکس شده در رتبه بندی الکسا هنوز از HTTPS استفاده نمی کنند.
مشکلات اصلی TLS 1.0/1.1 عدم پشتیبانی از رمزهای مدرن (به عنوان مثال، ECDHE و AEAD) و وجود الزاماتی برای پشتیبانی از رمزهای قدیمی است که قابلیت اطمینان آن در مرحله فعلی توسعه زیر سوال رفته است. از فناوری محاسباتی (برای مثال، پشتیبانی از TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA برای بررسی یکپارچگی و احراز هویت از MD5 و SHA-1 مورد نیاز است). پشتیبانی از الگوریتم های قدیمی قبلاً به حملاتی مانند ROBOT، DROWN، BEAST، Logjam و FREAK منجر شده است. با این حال، این مشکلات به طور مستقیم آسیب پذیری پروتکل در نظر گرفته نشد و در سطح پیاده سازی آن حل شد. خود پروتکل های TLS 1.0/1.1 فاقد آسیب پذیری های حیاتی هستند که می توان از آنها برای انجام حملات عملی سوء استفاده کرد.
منبع: opennet.ru