谷歌、微软、摩斯拉(火狐浏览器拥有者)和苹果今天宣布,他们将在2020年各自的浏览器中禁用安全传输层协议(TLS) 1.0和1.1。因此,TLS 1.2将是默认版本,除非TLS 1.3可用。
TLS是一种加密协议,旨在通过计算机网络提供通信安全——网站使用它来保护服务器和浏览器之间的所有通信。TLS还继承了安全套接层(SSL),因此可以处理每个HTTPS(安全超文本传输协议)连接的加密。
TLS协议目前有4个版本——TLS 1.0、1.1、1.2和1.3(最新版本)——但旧版本TLS 1.0和1.1已知容易受到一些关键攻击,如POODLE和BEAST。由于所有主要web浏览器和应用程序中的TLS实现都支持降级协商过程,因此即使服务器支持最新版本,攻击者也有机会利用较弱的协议。
最新版本TLS 1.3受谷歌和火狐支持。微软和苹果计划分别在Edge和Safari的未来版本中支持TLS 1.3。
“明年1月19日是TLS 1.0发布20周年,TLS 1.0是首个对网络安全连接进行加密和认证的协议,”微软Edge的高级程序经理Kyle Pflug说。
他表示:“对于一项安全技术来说,20年的时间太长了。虽然我们还没发现TLS 1.0和TLS 1.1在我们最新版本中存在重大漏洞[…]但转向新版本有助于确保每个人的网络更安全。
微软援引SSL实验室的公开数据显示,94%的互联网站点已经改用TLS 1.2,而在较老的标准版本中,只有很少的站点采用了。
Pflug还引用了内部统计数据,他说:“微软Edge中每天使用TLS 1.0或1.1的用户不到1%。”
以下是每个浏览器制造商的承诺:
1. TLS 1.0和1.1将在Chrome 81中完全禁用,Chrome 81将“于2020年1月开始在早期版本中推出”。
2. Edge和Internet Explorer(IE) 11将在2020年上半年默认禁止使用TLS 1.0和TLS 1.1。
3. 到2020年3月,火狐将不再支持TLS 1.0和TLS 1.1。
从2020年3月开始,TLS 1.0和1.1.苹果iOS和macOS更新的Safari中移除。
微软指出,微软Edge中的“不到1%的日常连接”使用的是TLS 1.0或TLS 1.1。这是个好消息,但该公司没有分享IE的使用率,而IE的使用率可能要高得多。
苹果补充说,TLS 1.2符合其平台标准,占Safari TLS连接的99.6%,而TLS 1.0和1.1占Safari所有连接的不到0.36%。谷歌和摩斯拉当时没有共享相同的数据,但是可以公平地说,使用旧的TLS版本正在减少。
这四家浏览器制造商都呼吁网站尽快摆脱TLS 1.0和TLS 1.1。SSL实验室显示,目前94%的站点支持TLS 1.2。
除了这些科技巨头,Gitlab今天还宣布,到2018年底,将在其网站和API基础设施上不支持TLS 1.0和TLS 1.1。
Windows用户和系统管理员可以测试禁用TLS 1.0和TLS 1.1的影响,并在最后期限前准备好他们的设备和网络。
他们可以通过访问Windows控制面板中的“Internet选项”设置,访问“高级”选项卡,在安全部分取消“使用TLS 1.0”和“使用TLS 1.1”选项。
