انٹرنیٹ انجینئرنگ ٹاسک فورس (IETF)، جو کہ انٹرنیٹ پروٹوکول اور فن تعمیر کو تیار کرتی ہے، نے RFC 8996 شائع کیا ہے، جو سرکاری طور پر TLS 1.0 اور 1.1 کو فرسودہ کرتا ہے۔
TLS 1.0 تفصیلات جنوری 1999 میں شائع ہوئی تھیں۔ سات سال بعد، TLS 1.1 اپ ڈیٹ ابتدائی ویکٹرز اور پیڈنگ کی جنریشن سے متعلق سیکیورٹی میں بہتری کے ساتھ جاری کیا گیا۔ SSL پلس سروس کے مطابق، 16 جنوری تک، TLS 1.2 پروٹوکول کو 95.2% ویب سائٹس کی حمایت حاصل ہے جو محفوظ کنکشن قائم کرنے کی اجازت دیتی ہے، اور TLS 1.3 - 14.2% تک۔ TLS 1.1 کنکشن 77.4% HTTPS سائٹس کے ذریعے قبول کیے جاتے ہیں، جبکہ TLS 1.0 کنکشنز کو 68% قبول کرتے ہیں۔ Alexa کی درجہ بندی میں ظاہر ہونے والی پہلی 21 ہزار سائٹس میں سے تقریباً 100% اب بھی HTTPS استعمال نہیں کرتی ہیں۔
TLS 1.0/1.1 کے اہم مسائل جدید سائفرز (مثال کے طور پر ECDHE اور AEAD) کے لیے تعاون کا فقدان اور پرانے سائفرز کو سپورٹ کرنے کے لیے ایک ضرورت کی تصریح میں موجودگی، جس کی وشوسنییتا پر ترقی کے موجودہ مرحلے میں سوالیہ نشان ہے۔ کمپیوٹنگ ٹکنالوجی کی (مثال کے طور پر، TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA کے لیے سپورٹ درکار ہے سالمیت کی جانچ اور تصدیق کے لیے MD5 اور SHA-1 استعمال کیے جاتے ہیں)۔ پرانے الگورتھم کے لیے سپورٹ پہلے ہی ROBOT، DROWN، BEAST، Logjam اور FREAK جیسے حملوں کا باعث بنی ہے۔ تاہم، ان مسائل کو براہ راست پروٹوکول کی کمزوریوں پر غور نہیں کیا گیا اور اس کے نفاذ کی سطح پر حل کیا گیا۔ TLS 1.0/1.1 پروٹوکول میں خود اہم کمزوریوں کا فقدان ہے جن کا فائدہ اٹھا کر عملی حملے کیے جا سکتے ہیں۔
ماخذ: opennet.ru