Viszlát TLS 1.0/1.1!


  • Share on Google+

Ezekben a napokban több helyen is találkozhat a TLS 1.0 és 1.1 protokoll támogatásának megszüntetéséről szóló információkkal. A kör évek után bezárul, és hozzáadódik a Webonic is. A hosting szervereken tervezzük a TLS 1.0 és 1.1 támogatás kikapcsolását. Több éves protokollokról van szó, amelyek nem felelnek meg a jelenlegi biztonsági kritériumoknak.

A TLS (Transport Layer Security ) 1.0-ás verziója 1999-ből származik, és az SSL 3.0-ás protokollt váltotta fel. 2006-ban újabb verzió jött ki, a TLS 1.1. Mindkettő az elavult MD5 és SHA-1 algoritmust/funkciót használja. A mai biztonsági szabványoknak pedig nem felelnek meg.

Biztonságosnak csak a 2008-ban megjelent TLS 1.2-es verzió (amely egyébként a HTTP/2 előfeltétele a teljesítményjavítás érdekében), valamint a legújabb verzió, az 2018-ból származó TLS 1.3 tekinthető. Szervereinken már csak ez a 2 verzió marad elérhető.A TLS 1.0 és a TLS 1.1 támogatását 2020 márciusának folyamán a webes böngészőikben az alábbi globális szereplők is megszüntetik: Google, Microsoft, Apple és a Mozilla.

A TLS 1.2-t nem támogató platformok

  • Android 4.3 és régebbi verziói
  • Firefox 5.0 és régebbi verziói
  • Internet Explorer 8–10 a Windows 7-en és régebbi verziói
  • Internet Explorer 10 a Windows Phone 8.0-n
  • Safari 6.0.4/OS X 10.8.4 és régebbi verziói

Ha nem a fent feltüntetett platformokat használja, biztonságban tudhatja magát. Valószínűleg már jelenleg sem a TLS 1.0/1.1-et használja.

Mit jelent ez és milyen hatásai lesznek

Általános megoldást a modern platformok / applikációk frissített verzióinak használata jelent. Pl. Google Chrome 78+, Firefox 71+, Microsoft Edge/Internet Explorer 11.

Ha a csatlakozáshoz/fájlok átviteléhez jelenleg is a TLS 1.0/1.1-től függő saját applikációkat használ, végezze el a beállításukat/frissítésüket.

Ezzel a biztonság területén javulást ér el. Pl. az SSL Labs minden TLS 1.0/1.1 támogatású webhelyet penalizál – a legjobb elérhető lehetséges értékelés a „B”. A változás után az SSL és HTTPS használata során minden gond nélkül meg kellene kapnia az „A” értékelést. Hasonló tesztet kínál a következő oldal is: https://www.cdn77.com/tls-test.

"B” értékelés a TLS 1.0/1.1-es támogatással.
“B” értékelés a TLS 1.0/1.1-es támogatással.
"A” értékelés a TLS 1.0/1.1 kikapcsolását követően.
“A” értékelés a TLS 1.0/1.1 kikapcsolását követően.

A TLS 1.2-t érintő további javítások

A következő körben magát a TLS 1.2-t is optimalizálni szeretnénk. És megtekinteni a WEAK – gyenge megjelölésű ún. cipher suites-eket. Belső analízisünk szerint a kérelmek (request) 99,9Üa rendben van, korlátozások csak az esetek <0,01%-ban jelenhetnek meg.

Az eredmény az Ön hostingjainak még jobb értékelése és biztonsága lesz.

Gyenge cipher suites-ek a TLS 1.2-ben
Gyenge cipher suites-ek a TLS 1.2-ben