Lực lượng đặc nhiệm kỹ thuật Internet (IETF), nơi phát triển các giao thức và kiến trúc Internet, đã xuất bản RFC 8996, chính thức ngừng sử dụng TLS 1.0 và 1.1.
Đặc tả TLS 1.0 được xuất bản vào tháng 1999 năm 1.1. Bảy năm sau, bản cập nhật TLS 16 được phát hành với những cải tiến về bảo mật liên quan đến việc tạo vectơ khởi tạo và phần đệm. Theo dịch vụ SSL Pulse, tính đến ngày 1.2 tháng 95.2, giao thức TLS 1.3 được hỗ trợ bởi 14.2% trang web cho phép thiết lập kết nối an toàn và TLS 1.1 - 77.4%. Kết nối TLS 1.0 được 68% trang web HTTPS chấp nhận, trong khi kết nối TLS 21 được 100%. Khoảng XNUMX% trong số XNUMX nghìn trang web đầu tiên được phản ánh trong bảng xếp hạng Alexa vẫn không sử dụng HTTPS.
Các vấn đề chính của TLS 1.0/1.1 là thiếu sự hỗ trợ cho các mật mã hiện đại (ví dụ: ECDHE và AEAD) và sự hiện diện trong đặc tả yêu cầu hỗ trợ các mật mã cũ, độ tin cậy của chúng đang bị nghi ngờ ở giai đoạn phát triển hiện tại. của công nghệ điện toán (ví dụ: cần có hỗ trợ TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA để kiểm tra tính toàn vẹn và sử dụng xác thực MD5 và SHA-1). Việc hỗ trợ các thuật toán lỗi thời đã dẫn đến các cuộc tấn công như ROBOT, DROWN, BEAST, Logjam và FREAK. Tuy nhiên, những vấn đề này không được coi trực tiếp là các lỗ hổng giao thức và đã được giải quyết ở cấp độ triển khai. Bản thân các giao thức TLS 1.0/1.1 thiếu các lỗ hổng nghiêm trọng có thể bị khai thác để thực hiện các cuộc tấn công thực tế.
Nguồn: opennet.ru