TLS 1.0 અને 1.1 સત્તાવાર રીતે નાપસંદ છે

ઈન્ટરનેટ એન્જિનિયરિંગ ટાસ્ક ફોર્સ (IETF), જે ઈન્ટરનેટ પ્રોટોકોલ્સ અને આર્કિટેક્ચર વિકસાવે છે, તેણે RFC 8996 પ્રકાશિત કર્યું છે, જે TLS 1.0 અને 1.1 ને સત્તાવાર રીતે અવમૂલ્યન કરે છે.

TLS 1.0 સ્પષ્ટીકરણ જાન્યુઆરી 1999 માં પ્રકાશિત થયું હતું. સાત વર્ષ પછી, TLS 1.1 અપડેટ આરંભિક વેક્ટર અને પેડિંગની પેઢી સાથે સંબંધિત સુરક્ષા સુધારાઓ સાથે બહાર પાડવામાં આવ્યું હતું. SSL પલ્સ સેવા અનુસાર, 16 જાન્યુઆરી સુધીમાં, TLS 1.2 પ્રોટોકોલ 95.2% વેબસાઇટ્સ દ્વારા સમર્થિત છે જે સુરક્ષિત કનેક્શન સ્થાપિત કરવાની મંજૂરી આપે છે, અને TLS 1.3 - 14.2% દ્વારા. TLS 1.1 જોડાણો 77.4% HTTPS સાઇટ્સ દ્વારા સ્વીકારવામાં આવે છે, જ્યારે TLS 1.0 જોડાણો 68% દ્વારા સ્વીકારવામાં આવે છે. એલેક્સા રેન્કિંગમાં પ્રતિબિંબિત પ્રથમ 21 હજાર સાઇટ્સમાંથી આશરે 100% હજુ પણ HTTPS નો ઉપયોગ કરતી નથી.

TLS 1.0/1.1 ની મુખ્ય સમસ્યાઓ આધુનિક સાઇફર (ઉદાહરણ તરીકે, ECDHE અને AEAD) માટે સમર્થનનો અભાવ છે અને જૂના સાઇફર્સને ટેકો આપવાની જરૂરિયાતના સ્પષ્ટીકરણમાં હાજરી છે, જેની વિશ્વસનીયતા વિકાસના વર્તમાન તબક્કે પ્રશ્નાર્થ છે. કમ્પ્યુટિંગ ટેક્નોલોજી (ઉદાહરણ તરીકે, TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA માટે સમર્થન જરૂરી છે અખંડિતતા તપાસ અને પ્રમાણીકરણ MD5 અને SHA-1 નો ઉપયોગ થાય છે). જૂના એલ્ગોરિધમ્સ માટેના સમર્થનથી પહેલાથી જ ROBOT, DROWN, BEAST, Logjam અને FREAK જેવા હુમલા થયા છે. જો કે, આ સમસ્યાઓને સીધી રીતે પ્રોટોકોલ નબળાઈઓ ગણવામાં આવી ન હતી અને તેના અમલીકરણના સ્તરે ઉકેલાઈ હતી. TLS 1.0/1.1 પ્રોટોકોલ્સમાં જટિલ નબળાઈઓનો અભાવ છે જેનો ઉપયોગ વ્યવહારિક હુમલાઓ કરવા માટે થઈ શકે છે.

સોર્સ: opennet.ru