Chrome,Firefox,Edge,Safari计划在2020年禁用TLS 1.0和1.1协议
发布日期:2018-10-18Google Chrome,Apple Safari,Microsoft Edge,Internet Explorer和Mozilla Firefox等主流浏览器,同时宣布将在2020年停止支持TLS 1.0和TLS 1.1通信加密协议。
为什么禁用TLS 1.0和1.1协议?
TLS协议 是SSL协议的升级版本,是一种更新的通信加密协议,用于客户端和服务器之间建立安全和加密的传输通道。目前,低版本的SSL协议(包含SSL 2.0和SSL 3.0)已经被禁用,而升级版本的TLS协议目前的四个版本(TLS 1.0,1.1,1.2和最新的TLS 1.3)中,旧版本TLS 1.0和1.1已被证明存在易受攻击的漏洞,比如POODLE攻击和BEAST攻击。
由于所有主流Web浏览器和应用程序中的TLS执行过程都支持降级协商,因此即使服务器支持最新版本TLS协议,攻击者仍然有机会通过降级协商利用较弱的协议版本实现攻击。
根据谷歌、微软、苹果和Mozilla等主流浏览器公司发布的新闻显示,他们的浏览器将在2020年上半年默认禁用TLS 1.0和TLS 1.1。
除了主流浏览器外,PCI数据安全标准(PCI DSS)合规性也要求网站在2018年6月30日之前,禁用SSL协议和TLS 1.0协议;而Gitlab则宣布将在2018年底停止支持TLS 1.0和1.1.
TLS 1.2的使用情况
为解决TLS 1.0和1.1的弱点,TLS 1.2版本于十年前发布并被广泛采用,将成为默认的TLS版本,直到TLS 1.3版本可用。
随着TLS 1.0的不断老化,许多网站已经转向更新的协议版本,微软Edge中使用TLS 1.0或1.1的日常连接只有不到1%。;苹果Safari中TLS 1.2连接占所有连接的99.6%,而TLS 1.0和1.1仅占不到0.36%;谷歌Chrome只有0.5%的HTTPS连接使用TLS 1.0或1.1。因此,目前推荐所有网站退出旧版本TLS协议,支持TLS 1.2以上版本协议是比较切合实际的。
沃通CA建议网站所有者为服务器安装SSL证书后,需要检查更新加密协议和加密套件,及时禁用低版本SSL/TLS协议,参考服务器SSL不安全协议修复方案。普通用户可在浏览器端设置手动禁用低版本SSL/TLS协议。比如在Chrome中,您可以通过打开设置→高级设置→打开代理设置→单击“高级”选项卡→在“安全”部分下,取消选中TLS 1.0和1.1然后保存。