4006-555-883

苹果公司、微软、谷歌宣布禁用TLS1.0及TLS1.1的计划

发布时间:2018-10-18 08:57:00

本周,苹果公司、微软及谷歌宣布他们计划停止支持TLS1.0TLS1.1。这意味着TLS1.2将直接成为默认项,并鼓励各网站及公司尽快增加对TLS 1.3的支持

 

这是三大科技巨头与Mozilla联合发表的声明。这意味着几大浏览器——苹果公司的Safari,谷歌的ChromeMozillaFirefox 及微软的EdgeInternet Explorer——都将在2020年初前放弃对TLS1.0TLS1.1的支持

众所周知,TLS是安全套接层协议(SSL)的后继协议。我们口头上仍然使用SSL这个名称,因为它最为大众所知。然而,自1999以来,我们实际上一直在使用的是安全传输层协议(TLS)。 SSL最后一点存在的痕迹,即对SSL 3.0的支持,在一段时间内一直是不合理的,即使动作最慢的机构组织也因为那些已知的漏洞纷纷弃用。


119日将是TLS1.0面世20周年纪念日。如今,我们使用的是TLS1.3。为了参照标准,支付卡产业在今年年初被强制停止支持TLS1.0,同时,也被强烈建议取消TLS1.1的支持。因此,这并不是空穴来风,而是准备已久的决定。


TLS1.0TLS1.1被认为不安全的原因是他们使用的是过时的算法和密码系统,经发现,这些算法和系统是十分脆弱的比如SHA-1MD5。他们还缺乏诸如完全前向保密等现代特性,容易受到降级攻击。


苹果公司、谷歌及微软都表示,这一决定可能产生的影响极小,因为SafariChromeEdgeInternet Explorer浏览器的连接只有极小部分仍然使用TLS 1.0或者TLS 1.1


关于这一决定,苹果公司称:

现在是时候做出这一转变了。TLS1.2遵从了应用程序安全传输协议(ATS)的要求进行了合理配置为现代网络提供合适的安全保证。它是苹果平台的标准协议,在Safari产生的TLS连接中占99.6%。始于1999年的TLS1.01.1所有连接中所占比例不到0.36%。随着20188月互联网工程任务组(IETF)正式发布TLS1.3,旧版本TLS连接所占比例可能会进一步下滑。HTTP/2要求使用TLS1.2因为它能显著改善网络的性能。

微软则快速梳理了一路历程:

对一项安全技术来说,20年保持不变是很长的一段时间了。虽然我们没有发现最新部署的TLS1.0TLS1.1存在巨大漏洞,但确实存在易受攻击的第三方操作。更新至新版本可以保证所有用户有更为安全的网络。此外,我们预计IETF在今年年末正式弃用TLS1.0TLS1.1,届时,IETF将不再处理这些版本存在的协议漏洞。


谷歌的表述流露着个性:
根据这些行业规范,谷歌Chrome将在Chrome72弃用TLS1.0TLS1.1。使用这些版本的网站会在Chrome72DevTools控制台中看到弃用提醒。Chrome 81将全部禁用TLS1.01.1。这将20201月开始早期发行渠道上对用户造成影响。


对你而言,这意味着什么?

对绝大多数企业和组织来说,这都不是问题。很长时间以来(10年),TLS1.2 一直都是标准,因此,并不是增加对新版本的支持或者关闭对旧版本支持的问题。因为如果浏览器端正停止支持,那么在服务器端保留支持可能会使你遭受诸如降级攻击等漏洞的危险。


一般来说,TLS的部署应该:

●支持TLS 1.2(最好支持TLS 1.3)

●使用基于EDCHEAEAD的密码

(谷歌建议:“基于AEAD的密码组使用AES-GCM 或者ChaCha20-Poly1305对大多数网站来说,推荐选择
ECDHE_RSA_WITH_AES_128_GCM_SHA256”。)

●使用SHA-2散列算法

坦白说,你应该竭尽全力地更新至
TLS1.3TLS1.3在设计阶段花费了很长时间,但都是值得的。它删除了很多已经存在漏洞或者可能很快出现漏洞的算法和密码,并且将握手通信精简至单次往返。

最新发布
1
超1.7亿条个人信息遭泄露,这2种证书可守护你的App数据安全
2
新型诈骗惊动高层!银保监会紧急发布风险提示 SSL证书价值凸显
3
《网络安全法》实施五周年,加快推进国密改造提升网络空间安全
4
政府机构频遭黑客攻击,国密改造亟需加快推进
5
普京签署特殊“总统令”,关键信息基础设施成各国网络空间博弈主战场
6
首都网络安全日 | 数字经济时代,如何守护我们的网络安全?
7
俄罗斯5.8 TB数据遭黑客泄露,关键基础设施安全亟待加强
8
中共中央办公厅 国务院办公厅发文加强打击网络诈骗,SSL证书网络防护作用凸显
9
警惕!银行系统漏洞频发,国密改造亟需加快推进
10
4·15国家安全教育日 | 网络安全,你我共建
相关推荐
警惕!银行系统漏洞频发,国密改造亟需加快推进
普京签署特殊“总统令”,关键信息基础设施成各国网络空间博弈主战场
中共中央办公厅 国务院办公厅发文加强打击网络诈骗,SSL证书网络防护作用凸显
首都网络安全日 | 数字经济时代,如何守护我们的网络安全?
2月15日起施行!国家密码管理局等十三部门修订发布《网络安全审查办法》
战火蔓延,俄罗斯惨遭“断网”!国内网站备份国密证书刻不容缓!
新型诈骗惊动高层!银保监会紧急发布风险提示 SSL证书价值凸显
央视专题报道,2亿多网民遭遇信息泄露,如何应对网络安全“重灾区”?
Twitter流量疑遭俄罗斯劫持!防劫持保安全SSL证书不可或缺
俄罗斯5.8 TB数据遭黑客泄露,关键基础设施安全亟待加强