fbpx

Zbohom TLS 1.0/1.1


  • Zdieľať na Google+

V týchto dňoch môžete na viacerých miestach naraziť na informácie o (ne)podpore protokolu TLS 1.0 a 1.1. Kruh sa po rokoch uzatvára a pridáva sa aj WebSupport. Na hostingových serveroch plánujeme vypnúť podporu TLS 1.0 a 1.1. Ide o roky staré protokoly, ktoré nespĺňajú súčasné bezpečnostné kritéria.

TLS (Transport Layer Security ) verzie 1.0 pochádza z roku 1999, nahradilo protokol SSL 3.0. V roku 2006 prišla ďalšia verzia TLS 1.1. Obe používajú prekonané algoritmy/funkcie MD5 a SHA-1. A dnešným bezpečnostným štandardom nevyhovujú.

Za bezpečnú sa považuje až verzia TLS 1.2 z roku 2008 (mimochodom prerekvizita k HTTP/2 zlepšujúce výkon) a najnovšia verzia TLS 1.3 z roku 2018. Na našich serveroch ostanú dostupné už iba tieto 2 verzie.

K ukončeniu podpory TLS 1.0 a TLS 1.1 počas marca 2020 pristupujú aj globálni hráči: Google, Microsoft, Apple, Mozilla v ich webových prehliadačoch.

Platformy, ktoré nepodporujú TLS 1.2

  • Android 4.3 a staršie verzie
  • Firefox version 5.0 a staršie verzie
  • Internet Explorer 8–10 na Windows 7 a staršie verzie
  • Internet Explorer 10 na Windows Phone 8.0
  • Safari 6.0.4/OS X 10.8.4 a staršie verzie

Pokiaľ nepoužívate vyššie uvedené platformy, ste v bezpečí. Aj teraz už zrejme TLS 1.0/1.1 nepoužívate.

Čo to znamená a dopady

Vo všeobecnosti je riešením používať moderné platformy / aktualizované aplikácie. Napr. Google Chrome 78+, Firefox 71+, Microsoft Edge/Internet Explorer 11.

Ak používate na pripojenie/prenos súborov vlastné aplikácie ešte stále závislé na TLS 1.0/1.1, je potrebné zabezpečiť zmenu ich nastavení/aktualizáciu.

Z hľadiska bezpečnosti si prilepšíte. Napr. SSL Labs všetky weby s podporou TLS 1.0/1.1 penalizuje – najlepšie možné hodnotenie je B. Po zmene by ste pri použití SSL a HTTPS mali bez problémov dostať A hodnotenie. Podobný test ponúka aj https://www.cdn77.com/tls-test.

SSL Labs penalizácia a hodnotenie "B" za podporu TLS 1.0/1.1
Hodnotenie “B” s podporou TLS 1.0/1.1
SSL Labs A hodnotenie po vypnutí TLS 1.0/1.1
„A“ hodnotenie po vypnutí TLS 1.0/1.1

Ďalšie vylepšenia pre TLS 1.2

V ďalšom kroku by sme chceli optimalizovať aj samotné TLS 1.2. A pozrieť sa na tzv. cipher suites označené ako WEAK – slabé. Naša interná analýza ukázala, že 99,9% requestov je v poriadku a obmedzenia môžu nastať iba pri <0,01%.

Výsledkom by malo byť ešte lepšie hodnotenie a bezpečnosť vašich hostingov.

Slabé cipher suites v TLS 1.2