|
|
|
联系客服020-83701501

3月起四大浏览器正式停止对TLS 1.1和TLS 1.0的支持

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约

  从2020年3月开始,TLS 1.1版和TLS 1.0版安全协议将被停止支持。

3月起四大浏览器正式停止对TLS 1.1和TLS 1.0的支持

  届时,谷歌(Chrome)、Mozilla(Firefox)、微软(IE和Edge) 、苹果(Safari)将发布新的浏览器来执行这一策略。

  超过850,000个网站仍然使用旧的TLS 1.0和1.1协议,这旧的协议计划在本月晚些时候从大多数主流浏览器中删除。

  根据英国技术公司Netcraft发布的一份报告,这包括主要银行、政府、新闻机构、电信、电子商务商店和互联网社区的网站。

  所有850,000个网站都使用HTTPS,但是这个版本功能非常弱。这些网站通过基于TLS 1.0和TLS 1.1协议构建的加密证书支持HTTPS连接。

  这些是分别于1996年和2006年发布的古老协议。该协议使用弱密码算法,容易受到过去20年中公开的一系列密码攻击的攻击,如BEAST、LUCKY 13、SWEET 32、CRIME和POODLE。这些攻击可以让攻击者解密HTTPS并访问用户的纯文本Web流量。

  这些协议的新版本分别于2008年(TLS 1.2)和2017年(TLS 1.3)发行。它们被认为比TLS 1.0和TLS 1.1更好、更安全。

  TLS 1.0和TLS 1.1在两年前被删除

  在TLS 1.3于2018年春季发布后,四家浏览器制造商——苹果,谷歌,Mozilla和微软于2018年10月联合宣布计划在2020年初取消对TLS 1.0和TLS 1.1的支持。

  弃用的第一阶段始于去年,当时浏览器开始使用URL地址栏中的“不安全”指示符和锁定图标来标记使用TLS 1.0和TLS 1.1的网站,从而向用户暗示HTTPS连接并不像他们预期的那样安全。

  本月晚些时候,当用户访问使用TLS 1.0或TLS 1.1的网站时,浏览器将从显示隐藏警告变为显示整页错误。

  这些全页错误将于本月晚些时候在Chrome 81和Firefox 74中发布。根据Safari最初发布的消息,他们也计划在本月发布TLS 1.0和1.1。

  微软将在4月底发布(基于Chromium的Edge 82)。

  根据Netcraft的扫描,受影响的网站数量约为850,000个,其中超过5,000个被列在Alexa的前100万个网站中。

  Netcraft研究人员说:“取消对这些旧协议的客户端支持是确保相关漏洞不再构成任何风险的最有效方法。”

  TLS的发展历程

  1994年,NetScape公司设计了SSL协议(Secure Sockets Layer)的1.0版,但没有发布。

  1995年,NetScape公司发布了SSL版本2.0,并很快发现了严重的漏洞。

  1996年,SSL版本3.0问世并得到大规模应用。

  1999年,SSL的升级版本TLS 1.0诞生了。

  2006年,TLS 1.1协议正式推出

  2008年,TLS 1.2协议正式发布

  2019年8月,IETF(互联网工程任务组)正式发布了TLS 1.3,标志着整体安全性的一大飞跃。

  2019年,支付卡行业数据安全标准(PCI DSS)强制取消支付卡行业对TLS 1.0的支持,并强烈建议取消对TLS 1.1的支持。

  2020年,谷歌Chrome、微软IE、苹果Safari和火狐Firefox将停止支持TLS 1.1和TLS 1.0安全协议,TLS 1.2将成为默认设置。

  为什么TLS 1.0和TLS 1.1协议被放弃?

  主要原因:极度不安全。目前有4个版本的TLS协议——TLS1.0、1.1、1.2和1.3(最新版本)。TLS 1.0和TLS 1.1的两个旧版本使用了过时的算法和加密系统,如SHA-1和MD5。这些算法和系统非常脆弱,存在重大的安全漏洞,并且容易受到降级攻击影响,如POODLE和BEAST。

  苹果,谷歌和微软都表示,这一决定的影响可能微乎其微,因为只有一小部分Safari、Chrome、Edge和Internet Explorer浏览器的连接仍在使用TLS 1.0或TLS 1.1。到目前为止,大多数网站都支持TLS 1.2或TLS 1.3协议,所以除了一些长期没有更新架构的行业服务器外,普通互联网用户在浏览时不会遇到太大问题。

数安新闻+更多

证书相关+更多