İnternet protokolleri ve mimarisi geliştiren İnternet Mühendisliği Görev Gücü (IETF), TLS 8996 ve 1.0'i resmi olarak kullanımdan kaldıran RFC 1.1'yı yayınladı.
TLS 1.0 spesifikasyonu Ocak 1999'da yayınlandı. Yedi yıl sonra, başlatma vektörlerinin ve dolguların oluşturulmasıyla ilgili güvenlik iyileştirmelerini içeren TLS 1.1 güncellemesi yayımlandı. SSL Pulse hizmetine göre, 16 Ocak itibarıyla güvenli bağlantı kurulmasına izin veren web sitelerinin %1.2'si TLS 95.2 protokolünü, %1.3'si ise TLS 14.2'ü destekliyor. TLS 1.1 bağlantıları HTTPS sitelerinin %77.4'ü tarafından kabul edilirken, TLS 1.0 bağlantıları %68'i tarafından kabul edilmektedir. Alexa sıralamasına yansıyan ilk 21 bin sitenin yaklaşık %100'i hala HTTPS kullanmıyor.
TLS 1.0/1.1'in ana sorunları, modern şifreler (örneğin, ECDHE ve AEAD) için destek eksikliği ve spesifikasyonda, geliştirmenin mevcut aşamasında güvenilirliği sorgulanan eski şifreleri destekleme gereksiniminin varlığıdır. bilgi işlem teknolojisinin (örneğin, bütünlük kontrolü için TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA desteği gereklidir ve MD5 ve SHA-1 kimlik doğrulaması kullanılır). Güncelliğini yitirmiş algoritmaların desteklenmesi halihazırda ROBOT, DROWN, BEAST, Logjam ve FREAK gibi saldırılara yol açmıştır. Ancak bu sorunlar doğrudan protokol güvenlik açıkları olarak değerlendirilmedi ve uygulama düzeyinde çözüldü. TLS 1.0/1.1 protokolleri, pratik saldırılar gerçekleştirmek için kullanılabilecek kritik güvenlik açıklarından yoksundur.
Kaynak: opennet.ru