В Firefox par défaut prise en charge des protocoles TLS 1.0 et TLS 1.1 (le paramètre security.tls.version.min est défini sur 3, ce qui définit TLS 1.2 comme version minimale). Dans les versions stables, TLS 1.0/1.1 devrait être désactivé en mars 2020. Dans Chrome, la prise en charge de TLS 1.0/1.1 sera abandonnée dans Chrome 81, attendue en janvier 2020.
La spécification TLS 1.0 a été publiée en janvier 1999. Sept ans plus tard, la mise à jour TLS 1.1 a été publiée avec des améliorations de sécurité liées à la génération de vecteurs d'initialisation et au remplissage. Actuellement, le comité de l'IETF (Internet Engineering Task Force), impliqué dans le développement des protocoles et de l'architecture Internet,
projet de spécification dépréciant les protocoles TLS 1.0/1.1. Selon le service au 3 septembre, le protocole TLS 1.2 est pris en charge par 95.8 % des sites Web permettant l'établissement de connexions sécurisées, et TLS 1.3 - par 17.7 %. Les connexions TLS 1.1 sont acceptées par 75.5 % des sites HTTPS, tandis que les connexions TLS 1.0 sont acceptées par 65.5 %.
Les principaux problèmes de TLS 1.0/1.1 sont le manque de prise en charge des chiffrements modernes (par exemple, ECDHE et AEAD) et la nécessité de prendre en charge les chiffrements anciens, dont la fiabilité est remise en question au stade actuel de développement de la technologie informatique (par exemple , la prise en charge de TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA est requise, MD5 et SHA sont utilisés pour la vérification de l'intégrité et l'authentification -1). La prise en charge d'algorithmes obsolètes a déjà conduit à des attaques telles que
, , , и . Cependant, ces problèmes n’étaient pas directement considérés comme des vulnérabilités du protocole et ont été résolus au niveau de ses implémentations. Les protocoles TLS 1.0/1.1 eux-mêmes manquent de vulnérabilités critiques pouvant être exploitées pour mener des attaques pratiques.
Source: opennet.ru