苹果、微软和谷歌宣布结束对TLS 1.0和1.1的支持

这三家科技巨头宣布,将从2020年开始摒弃对过时TLS版本的支持。

昨天,苹果、微软和谷歌宣布了其摒弃对TLS 1.1和TLS 1.0的支持的意图。这意味着TLS 1.2实际上将成为默认的设置,各大浏览器也会鼓励网站和公司尽快增加对TLS 1.3的支持。

这三家科技巨头和Mozilla联合发表了这份声明。这意味着所有主流的浏览器——苹果的Safari、谷歌的Chrome、Mozilla的Firefox和微软的Edge和Internet Explorer——都将在2020年初放弃对TLS 1.1和TLS 1.0的支持。

正如你所知道的,TLS是安全套接层的继承者。用通俗的话来说,我们仍然在使用SSL,因为这是大多数人所知道的名称,但是从1999年开始我们实际上使用的是传输层安全。SSL最后一点存在的痕迹,即对SSL 3.0的支持,在一段时间内一直是不合理的,甚至各企业也因为一些已知的漏洞而逐渐放弃了对它的支持。

1月19日是TLS 1.0诞生20周年的纪念日。IETF在今年8月正式发布了TLS 1.3。值得借鉴的是,今年早些时候,支付卡产业数据安全标准(PCI DSS)强制取消了支付卡行业对TLS 1.0的支持,同时强烈建议取消对TLS 1.1的支持。所以这不是凭空而来的,它已经存在很长一段时间了。

TLS 1.0和TLS 1.1被认为是不安全的原因是,它们使用的是过时的算法和加密系统,经发现,这些算法和系统是十分脆弱的,比如SHA-1和MD5。它们也缺乏像完美的前向保密性这样的现代特征,并且容易受到降级攻击的影响。

苹果、谷歌和微软都表示,这一决定产生的影响可能是微乎其微的,因为Safari、Chrome、Edge和Internet Explorer浏览器的连接只有很少一部分仍然在使用TLS 1.0或TLS 1.1。

以下是微软提供的一张表格:

以下是苹果对这一决定的看法:

“现在是时候进行这种转变了。TLS 1.2遵从了应用程序安全传输协议(ATS)的要求进行了恰当的配置,从而提供了适于现代web的安全性。它是苹果平台的标准,在所有Safari的TLS连接中,占据着99.6%的比例。TLS 1.0和1.1——可以追溯到1999年——在所有连接中所占的比例不到0.36%。随着IETF在2018年8月对TLS 1.3的最终确定,传统TLS连接的比例可能会进一步下降。TLS 1.2对HTTP/2也是需要的,因为它能够显著改善web的性能。”

微软对往事进行了一番感怀:

20年不修改安全技术,这是很长一段时间了。虽然我们没有意识到我们最新所部署的TLS 1.0和TLS 1.1存在重大漏洞,但是一些脆弱的第三方实现确实存在。迁移到最新的版本有助于确保每个人都有一个更安全的Web。此外,我们希望IETF在今年晚些时候能够正式弃用TLS 1.0和1.1,届时,它们就将不再处理这些版本中的协议漏洞。

谷歌的文章则颇具个性:

“按照这些行业标准,谷歌Chrome将在Chrome 72中弃用TLS 1.0和TLS 1.1。那些使用了这些版本的网站将开始在该发布的DevTools控制台中看到弃用警告。TLS 1.0和1.1将在Chrome 81中被完全禁用。这将从2020年1月开始在早期的发布渠道对用户产生影响。”

这对你意味着什么?

对于绝大多数的企业和组织来说,这不会成为一个问题。TLS 1.2成为标准已经有一段时间了(10年),所以增加对新版本的支持不会是一个问题,就像关闭对旧版本的支持一样。虽然各浏览器社区正在放弃支持,但是维护对服务器端的支持会让你容易受到像降级攻击这样的攻击。

一般来说,你的TLS部署应当:

  • 支持TLS 1.2(最好是TLS 1.3)
  • 使用EDCHE和基于AEAD的加密(Google建议:“基于AEAD的密码套件是那些使用了AES-GCM或ChaCha20-Poly1305的密码套件。对于大多数网站来说,ECDHE_RSA_WITH_AES_128_GCM_SHA256是推荐的选项。”)
  • 使用SHA-2散列算法

坦白地说,你应该尽一切努力转向使用TLS 1.3。TLS 1.3在设计时花费了很长的时间,但这是有充分理由的。它摒弃了一些十分脆弱的算法和密码;经发现,这些算法和密码可能很快就会把握手的流程转变成一次往返流程。

你越快增加对TLS 1.3的支持,就越好。各大浏览器已经宣布了计划,开始支持它。而且它会变得更加安全。

同时,如果你仍然在支持TLS 1.0和TLS 1.1,赶快停止吧。

提交
还没有评论,快来抢沙发吧!
售前
支持
代理
合作
售后
支持