Ведущие вендоры браузеров заявили о готовности отказаться от устаревших версий криптографического протокола TLS в своих продуктах.

Microsoft планирует отключить TLS 1.0 и TLS 1.1 по умолчанию в Edge и Internet Explorer 11 в первой половине 2020-го. Apple и Mozilla снимут эти протоколы с поддержки в марте того же года. В блог-записи Google сказано, что, начиная с версии 72, Chrome станет выводить предупреждение в консоли DevTools, если сайт использует TLS 1.0 или 1.1. Оба протокола будут окончательно упразднены в Chrome 81, выпуск которого намечен на январь 2020 года.

В начале будущего года TLS 1.0 исполнится 20 лет, а TLS 1.1 появился двенадцать лет назад. Обе версии давно признаны морально устаревшими; кроме того, они предусматривают использование слабых по современным меркам шифров и алгоритмов. На смену TLS 1.0 и 1.1 в 2008 году появился более криптостойкий протокол TLS 1.2, который в настоящее время широко распространен и является стандартом де факто. По данным SSL Labs компании Qualys, TLS 1.2  поддерживают 94% наиболее посещаемых сайтов списка Alexa.

Согласно статистике Microsoft, на TLS 1.0 и 1.1 приходится менее 1% ежедневных подключений через браузер Edge. У Safari, Chrome и Firefox показатели примерно такие же — 0,36%, 0,5% и 0,1% соответственно. Остальные соединения используют TLS 1.2, а со временем, скорее всего, возрастет и доля TLS 1.3, уже одобренного Группой по стандартизации интернет-технологий (IETF) в качестве нового стандарта. Chrome и Firefox его уже поддерживают, в Safari и браузерах Microsoft эта опция пока отсутствует.

С поддержкой TLS 1.0 и 1.1 в браузерах и других клиентских приложениях важно покончить потому, что ее наличие позволяет откатить шифрование до слабых алгоритмов во время согласования протокола — даже в том случае, если сервер поддерживает новейшую версию TLS. Возможность подобных атак с целью перехвата и расшифровки защищенного трафика эксперты демонстрировали неоднократно, самые известные из этих экспериментов — BEAST, CRIME, POODLE, FREAK и Logjam.

Чтобы проверить, что произойдет, если отключить TLS 1.0 и TLS 1.1 на Windows, пользователи могут открыть Панель управления, войти в Свойства браузера, выбрать вкладку «Дополнительно» и снять флажки с соответствующих опций в разделе «Безопасность». В Chrome отключение вручную осуществляется через настройки браузера: Настройки → Дополнительные → Настройки прокси-сервера → вкладка «Дополнительно» → снять флажки с TLS 1.0 и 1.1 в разделе Security и сохранить изменения.

Сайтам, которые до сих пор не перешли на TLS 1.2 или выше, следует поторопиться: документ IETF о депрекации TLS 1.0 и 1.1 уже вынесен на обсуждение. Совет по стандартам безопасности индустрии платежных карт (PCI Security Standards Council) тоже давно ратует за отказ от ранних версий протокола защищенной передачи данных. Первоначальный дедлайн по миграции на TLS 1.2 в этой сфере пришлось сдвинуть на июнь 2018 года; новый срок уже миновал, и теперь регуляторы вправе требовать соответствия современным требованиям.

Категории: Главное, Кибероборона