Az internetes protokollokat és architektúrát fejlesztő Internet Engineering Task Force (IETF) közzétette az RFC 8996 szabványt, amely hivatalosan megszünteti a TLS 1.0-t és 1.1-et.
A TLS 1.0 specifikációt 1999 januárjában tették közzé. Hét évvel később megjelent a TLS 1.1 frissítés az inicializálási vektorok generálásával és a kitöltéssel kapcsolatos biztonsági fejlesztésekkel. Az SSL Pulse szolgáltatás szerint január 16-tól a TLS 1.2 protokollt a biztonságos kapcsolatok létrehozását lehetővé tevő webhelyek 95.2%-a, a TLS 1.3-at pedig 14.2%-a támogatja. A TLS 1.1-es kapcsolatokat a HTTPS-webhelyek 77.4%-a, míg a TLS 1.0-s kapcsolatokat 68%-a fogadja el. Az Alexa rangsorában szereplő első 21 ezer webhely hozzávetőleg 100%-a még mindig nem használ HTTPS-t.
A TLS 1.0/1.1 fő problémája a modern titkosítások (például ECDHE és AEAD) támogatásának hiánya, valamint a régi rejtjelek támogatására vonatkozó követelmény jelenléte a specifikációban, amelynek megbízhatósága a fejlesztés jelenlegi szakaszában megkérdőjelezhető. a számítástechnika (például a TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA támogatása szükséges az integritás ellenőrzéséhez és az MD5 és SHA-1 hitelesítéshez). Az elavult algoritmusok támogatása már olyan támadásokhoz vezetett, mint a ROBOT, a DROWN, a BEAST, a Logjam és a FREAK. Ezeket a problémákat azonban nem tekintették közvetlenül a protokoll sérülékenységének, és a megvalósítás szintjén oldották meg őket. Maguk a TLS 1.0/1.1 protokollok nem tartalmaznak olyan kritikus sebezhetőségeket, amelyek kihasználhatók gyakorlati támadások végrehajtására.
Forrás: opennet.ru