Az internetes protokollokat és architektúrát fejlesztő Internet Engineering Task Force (IETF) közzétette az RFC 8996 szabványt, amely hivatalosan megszünteti a TLS 1.0-t és 1.1-et.
A TLS 1.0 specifikációt 1999 januárjában tették közzé. Hét évvel később jelent meg a TLS 1.1, amely biztonsági fejlesztéseket tartalmazott az inicializációs vektorok generálásával és a kitöltésekkel kapcsolatban. A szolgáltatás szerint SSL A Pulse január 16-i adatai szerint a biztonságos kapcsolatokat támogató weboldalak 95.2%-a támogatja a TLS 1.2-t, míg 14.2%-a a TLS 1.3-at. A HTTPS-webhelyek 77.4%-a támogatja a TLS 1.1-es kapcsolatokat, míg 68%-a a TLS 1.0-t. Az Alexa által rangsorolt 100 000 legjobb webhely körülbelül 21%-a továbbra sem használ HTTPS-t.
A TLS 1.0/1.1 fő problémája a modern titkosítások (például ECDHE és AEAD) támogatásának hiánya, valamint a régi rejtjelek támogatására vonatkozó követelmény jelenléte a specifikációban, amelynek megbízhatósága a fejlesztés jelenlegi szakaszában megkérdőjelezhető. a számítástechnika (például a TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA támogatása szükséges az integritás ellenőrzéséhez és az MD5 és SHA-1 hitelesítéshez). Az elavult algoritmusok támogatása már olyan támadásokhoz vezetett, mint a ROBOT, a DROWN, a BEAST, a Logjam és a FREAK. Ezeket a problémákat azonban nem tekintették közvetlenül a protokoll sérülékenységének, és a megvalósítás szintjén oldották meg őket. Maguk a TLS 1.0/1.1 protokollok nem tartalmaznak olyan kritikus sebezhetőségeket, amelyek kihasználhatók gyakorlati támadások végrehajtására.
Forrás: opennet.ru
