:

Szerző: Gálffy Csaba

2018. október 16. 14:33

2020-szal vége a TLS 1.0-nak és 1.1-nek

Egyszerre jelentették be a nagy böngészőgyártók, hogy befejezik a TLS sebezhető verzióinak, az 1.0-nak és az 1.1-nek a támogatását. A határidő viszont meglepően távoli, egészen 2020 márciusáig várnak a kivezetéssel.

Egységesen kivezetik a TLS korai, 1.0-s és 1.1-es verzióinak támogatását a nagyobb böngészők, jelentette be az Apple, a Google, a Microsoft és a Mozilla. A közös fellépés eredményeképp 2020 márciusától a böngészők elutasítják majd a protokoll használatát. Helyette a TLS 1.2-re illetve a vadonatúj TLS 1.3-ra átállást javasolják a szereplőknek. A TLS (Transport Layer Security) protokoll felel a titkosított webes kapcsolatokért, ez diktálja a kliensnek és a szervernek a HTTPS-hez szükséges titkosítás felépítéséhez szükséges lépéseket.

Az általános kivezetés meglehetősen távoli időpontot kapott annak ellenére, hogy a szabványos protokollt már ma is alig használják. A használati statisztikák szerint 0,5-1 százalék körüli a TLS 1.0 és 1.1 együttes részesedése, így a távoli jövőbe, mintegy 16 hónapra kitolt határidő roppant nagyvonalú. Bizonyos kontextusban persze ez is szélsebesnek számít: a régi protokollt használó, webes felületen keresztül elérhető vállalati rendszerek lecserélésére a 16 hónap nem is olyan sok.

Apple, Google, Microsoft, Mozilla, plusz az IETF

Az Apple használati statisztikát is közöl, a cég telemetriája szerint a kapcsolatoknak mindössze 0,36 százalékát adják ma az elavult protokollok. A cég várakozása szerint ez az arány a TLS 1.3 elfogadásával tovább zsugorodik majd. A cég tervei szerint a macOS és az iOS 2020 márciusi frissítéssel távolítja majd el a régi TLS-verziók támogatását, így sem a Macek, sem az iPhone-ok/iPadek nem kapcsolódnak majd az ilyen szerverekhez.

A Google bejelentése szerint a Chrome 72-vel kerül "deprecated" (támogatásvesztésre jelölt) státuszba a két fenti protokoll, a fejlesztői konzolon már hibát fog jelezni a böngésző. A Chrome 81-gyel pedig ténylegesen meg is szűnik a támogatás. A cég felhívja arra is a figyelmet, hogy a TLS 1.0 már nem PCI-DSS megfelelő. A tervek szerint a többieknél valamivel hamarabb, 2020 januárjában dobja el a Chrome a támogatást.

 

tls1_2_vs_1_3

A Microsoft közlése szerint a Edge és az Internet Explorer 11 is elveszíti a protokollok támogatását az egyeztetett időpontban. A támogatott böngészőknél egy frissítéssel alapértelmezésben kikapcsolja a TLS 1.0 és 1.1 elfogadását a vállalat. A Microsoft teljesen feleslegesen ködösít még a protokoll biztonságával kapcsolatban: "Ugyan nem tudunk jelentős sebezhetőségről a saját TLS 1.0 és 1.1 implementációinkban, sebezhető külső implementációk léteznek." A csavar a "jelentős sebezhetőség", a kivezetésre ítélt TLS-verziók ugyanis a törhető MD5 és SHA-1 titkosítási algoritmusokat használják, és ezen túl további gyengeségekkel is rendelkeznek. Ezek a protokoll részei és implementáció-függetlenek, a Microsoft valamiért mégis úgy érezte, hogy hamis biztonságérzetbe kell ringatnia a felhasználókat.

Ünnepi mix a bértranszparenciától a kódoló vezetőkig

Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.

Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.

A Mozilla is óvatosan fogalmaz a biztonság kapcsán: "Ugyan konkrét, azonnali lépést igénylő problémáról nem tudunk az TLS 1.0 esetében, a protokoll bizonyos elemei nem olyan erősek, mint ahogy szeretnénk, a mai internet természetét figyelembe véve." A Mozilla azt emeli ki, hogy a TLS 1.0 legnagyobb baja, hogy nem támogatja a modern kriptográfiai algoritmusokat.

A böngészőgyártók az IETF-fel közösen lépnek. Az internetes szabványokért felelős testület már elkészítette a két TLS-verzió kivezetésének tervezetét, amely elfogadás esetén formálisan is megvonja a támogatást (deprecate) ettől a két protokolltól. A javaslat egyértelműen kimondja, hogy a TLS 1.0 és 1.1 használata "must not" kategóriás, vagyis kimondottan tiltott a protokoll használata. Ugyanezt tartalmazza a tervezet az SHA-1-re vonatkozóan is (legalábbis aláírás-hash szerepében).

Biztonság és sebesség

A régi TLS-verziók kivezetése mellett szóló egyik érv a HTTPS-kapcsolatok biztonsága. A másik, szintén fontos elem viszont a teljesítmény: a HTTP/2 használatát ugyanis ezek a protokollok nem támogatják, az új generációs megoldáshoz legalább TLS 1.2 szükséges. A TLS 1.3 egyébként még gyorsabb kézfogást ír elő, vagyis önmagában ez a változás is jelentősen csökkenti a webes alkalmazások reakcióidejét és betöltődését.

a címlapról