微軟、蘋果、Google及火狐四大瀏覽器將終止支持TLS 1.0、1.1
周一微軟、蘋果、Google及Mozilla四大廠商分別宣布將在2020年終止對(duì)網(wǎng)頁(yè)加密驗(yàn)證協(xié)定TLS(Transport Layer Security)1.0及1.1版的支持。
微軟旗下的Internet Explorer(IE)及Microsoft Edge會(huì)在2020年上半預(yù)設(shè)關(guān)閉TLS1.0及1.1。其中最早版本的TLS 1.0,到明年1月19日就屆滿20年。微軟Edge資深計(jì)劃經(jīng)理Kyle Pflug指出,對(duì)一個(gè)安全技術(shù)而言,20年沒(méi)有修改是太久了。雖然微軟對(duì)TLS 1.0及1.1版的實(shí)作沒(méi)有發(fā)現(xiàn)到什么重大漏洞,但有漏洞的第三方實(shí)作的確存在,進(jìn)階到更新的版本有助于確保大家的安全。
此外,負(fù)責(zé)開(kāi)發(fā)網(wǎng)際網(wǎng)絡(luò)標(biāo)準(zhǔn)的IETF(Internet Engineering Task Force)九月公布TLS1.0和1.1版的退場(chǎng)草案,今年內(nèi)可望將正式宣布,屆時(shí)IETF也將不再處理這些版本中的協(xié)定漏洞。TLS 1.3版則是已于今年三月通過(guò)。
Google工程師David Benjamin表示,舊版TLS使用MD5和SHA-1,兩者目前都已被破解,而且多所漏洞。TLS 1.0也已無(wú)法符合PCI-DSS(PCI Data Security Standard)認(rèn)證的要求。此外,TLS 1.2要求HTTP/2,也更能加快網(wǎng)站速度。
Google將在Chrome 72版開(kāi)始TLS 1.0及1.1的除役,使用TLS 1.0和1.1的網(wǎng)站到時(shí)會(huì)在Chrome 72的DevTools中看到除役警告,并在Chrome 81完全關(guān)閉。使用測(cè)試版的用戶從2020年一月就會(huì)受到影響。
Firefox的早期版本(包括Beta、Developer版及Nightly)在2020年3月之前就會(huì)開(kāi)始啟動(dòng)TLS 1.0和1.1版的除役。而蘋果iOS和macOS中的Safari則將從2020年3月起移除對(duì)舊版TLS的完整支持。
對(duì)IE、Edge、Chrome、Safari及Firefox而言,目前皆建議網(wǎng)站采用TLS 1.2,而網(wǎng)頁(yè)連線也以TLS 1.2為主,目前TLS 1.0在1.1版的連線流量對(duì)各瀏覽器比例皆極低,僅占Edge和Google的0.72%及0.5%,Safari的0.36%,以及Firefox Beta 62的1.2%。
Firefox及Chrome已支持TLS 1.3,Edge和Safari則正在開(kāi)發(fā)中。