The Internet Engineering Task Force (IETF), anu ngembangkeun protokol sareng arsitéktur Internét, parantos nyebarkeun RFC 8996, sacara resmi ngaleungitkeun TLS 1.0 sareng 1.1.
Spésifikasi TLS 1.0 diterbitkeun dina Januari 1999. Tujuh taun saatosna, pembaruan TLS 1.1 dileupaskeun kalayan perbaikan kaamanan anu aya hubunganana sareng generasi vektor inisialisasi sareng padding. Numutkeun kana jasa SSL Pulse, ti 16 Januari, protokol TLS 1.2 dirojong ku 95.2% situs wéb anu ngamungkinkeun ngadegkeun sambungan anu aman, sareng TLS 1.3 - ku 14.2%. Sambungan TLS 1.1 ditarima ku 77.4% situs HTTPS, sedengkeun sambungan TLS 1.0 ditarima ku 68%. Kira-kira 21% tina 100 rébu situs munggaran anu ditingali dina ranking Alexa masih henteu nganggo HTTPS.
Masalah utama TLS 1.0 / 1.1 nyaéta kurangna dukungan pikeun ciphers modern (contona, ECDHE sareng AEAD) sareng ayana spésifikasi sarat pikeun ngadukung ciphers lami, réliabilitas anu ditaroskeun dina tahap pangwangunan ayeuna. téhnologi komputasi (contona, rojongan pikeun TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA diperlukeun pikeun mariksa integritas jeung auténtikasi MD5 jeung SHA-1 dipaké). Rojongan pikeun algoritma luntur parantos nyababkeun serangan sapertos ROBOT, DROWN, BEAST, Logjam sareng FREAK. Tapi, masalah ieu henteu langsung dianggap kerentanan protokol sareng direngsekeun dina tingkat palaksanaanna. Protokol TLS 1.0/1.1 sorangan kakurangan kerentanan kritis anu tiasa dieksploitasi pikeun ngalaksanakeun serangan praktis.
sumber: opennet.ru