Nelle build notturne di Firefox, il supporto per TLS 1.0 e TLS 1.1 è disabilitato.

In build notturni Firefox predefinito disattivata supporto per i protocolli TLS 1.0 e TLS 1.1 (la configurazione security.tls.version.min è impostata su 3, il che stabilisce TLS 1.2 come versione minima). Nei rilasci stabili, il supporto per TLS 1.0/1.1 sarà disabilitato a marzo 2020. In Chrome, il supporto per TLS 1.0/1.1 cesserà con Chrome 81, previsto per gennaio 2020.

La specifica TLS 1.0 è stata pubblicata a gennaio 1999. Sette anni dopo è stato rilasciato l'aggiornamento TLS 1.1, con miglioramenti alla sicurezza riguardanti la generazione di vettori di inizializzazione e riempimenti. Attualmente, il comitato IETF (Internet Engineering Task Force) che si occupa dello sviluppo dei protocolli e dell'architettura di internet,
sviluppa una bozza di specifica che classifica i protocolli TLS 1.0/1.1 come obsoleti. Secondo i dati del servizio SSL Pulse alla data del 3 settembre, il protocollo TLS 1.2 è supportato dal 95.8% dei siti web che consentono connessioni sicure, mentre il TLS 1.3 dal 17.7%. Le connessioni tramite TLS 1.1 sono consentite dal 75.5% dei siti HTTPS, e quelle tramite TLS 1.0 dal 65.5%.

I principali problemi di TLS 1.0/1.1 sono la mancanza di supporto per ciphers moderni (come ECDHE e AEAD) e l'obbligo di supportare vecchi ciphers, la cui affidabilità è messa in discussione nello sviluppo attuale della tecnologia informatica (ad esempio, è richiesto il supporto per TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, mentre per la verifica dell'integrità e dell'autenticazione vengono utilizzati MD5 e SHA-1). Il supporto per algoritmi obsoleti ha già portato all'emergere di attacchi come
ROBOT, DROWN, BEAST, Logjam e FREAK. Tuttavia, questi problemi non erano direttamente vulnerabilità del protocollo e venivano risolti a livello delle sue implementazioni. Nei protocolli stessi TLS 1.0/1.1 non vi sono vulnerabilità critiche che possano essere sfruttate per condurre attacchi pratici.

Fonte: opennet.ru

Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server 🔥 Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server | ProHoster