انٹرنیٹ انجینئرنگ ٹاسک فورس (IETF)، جو کہ انٹرنیٹ پروٹوکول اور فن تعمیر کو تیار کرتی ہے، نے RFC 8996 شائع کیا ہے، جو سرکاری طور پر TLS 1.0 اور 1.1 کو فرسودہ کرتا ہے۔
TLS 1.0 تصریح جنوری 1999 میں شائع ہوئی تھی۔ سات سال بعد، TLS 1.1 کو ابتدائی ویکٹر اور پیڈنگ کی جنریشن سے متعلق سیکیورٹی میں بہتری کے ساتھ جاری کیا گیا۔ سروس کے مطابق SSL 16 جنوری تک، پلس نے پایا کہ محفوظ کنکشن کی حمایت کرنے والی 95.2% ویب سائٹس TLS 1.2 کی حمایت کرتی ہیں، جبکہ 14.2% TLS 1.3 کی حمایت کرتی ہیں۔ 77.4% HTTPS سائٹیں TLS 1.1 کنکشن کو سپورٹ کرتی ہیں، جبکہ 68% TLS 1.0 کو سپورٹ کرتی ہیں۔ Alexa کی طرف سے درجہ بندی کی گئی ٹاپ 100 سائٹس میں سے تقریباً 21% اب بھی HTTPS استعمال نہیں کرتی ہیں۔
TLS 1.0/1.1 کے اہم مسائل جدید سائفرز (مثال کے طور پر ECDHE اور AEAD) کے لیے تعاون کا فقدان اور پرانے سائفرز کو سپورٹ کرنے کے لیے ایک ضرورت کی تصریح میں موجودگی، جس کی وشوسنییتا پر ترقی کے موجودہ مرحلے میں سوالیہ نشان ہے۔ کمپیوٹنگ ٹکنالوجی کی (مثال کے طور پر، TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA کے لیے سپورٹ درکار ہے سالمیت کی جانچ اور تصدیق کے لیے MD5 اور SHA-1 استعمال کیے جاتے ہیں)۔ پرانے الگورتھم کے لیے سپورٹ پہلے ہی ROBOT، DROWN، BEAST، Logjam اور FREAK جیسے حملوں کا باعث بنی ہے۔ تاہم، ان مسائل کو براہ راست پروٹوکول کی کمزوریوں پر غور نہیں کیا گیا اور اس کے نفاذ کی سطح پر حل کیا گیا۔ TLS 1.0/1.1 پروٹوکول میں خود اہم کمزوریوں کا فقدان ہے جن کا فائدہ اٹھا کر عملی حملے کیے جا سکتے ہیں۔
ماخذ: opennet.ru
