周一微软、苹果、Google及Mozilla四大厂商分别宣布将在2020年终止对网页加密验证协定TLS(Transport Layer Security)1.0及1.1版的支持。
微软旗下的Internet Explorer(IE)及Microsoft Edge会在2020年上半预设关闭TLS1.0及1.1。其中最早版本的TLS 1.0,到明年1月19日就届满20年。微软Edge资深计划经理Kyle Pflug指出,对一个安全技术而言,20年没有修改是太久了。虽然微软对TLS 1.0及1.1版的实作没有发现到什么重大漏洞,但有漏洞的第三方实作的确存在,进阶到更新的版本有助于确保大家的安全。
此外,负责开发网际网络标准的IETF(Internet Engineering Task Force)九月公布TLS1.0和1.1版的退场草案,今年内可望将正式宣布,届时IETF也将不再处理这些版本中的协定漏洞。TLS 1.3版则是已于今年三月通过。
Google工程师David Benjamin表示,旧版TLS使用MD5和SHA-1,两者目前都已被破解,而且多所漏洞。TLS 1.0也已无法符合PCI-DSS(PCI Data Security Standard)认证的要求。此外,TLS 1.2要求HTTP/2,也更能加快网站速度。
Google将在Chrome 72版开始TLS 1.0及1.1的除役,使用TLS 1.0和1.1的网站到时会在Chrome 72的DevTools中看到除役警告,并在Chrome 81完全关闭。使用测试版的用户从2020年一月就会受到影响。
Firefox的早期版本(包括Beta、Developer版及Nightly)在2020年3月之前就会开始启动TLS 1.0和1.1版的除役。而苹果iOS和macOS中的Safari则将从2020年3月起移除对旧版TLS的完整支持。
对IE、Edge、Chrome、Safari及Firefox而言,目前皆建议网站采用TLS 1.2,而网页连线也以TLS 1.2为主,目前TLS 1.0在1.1版的连线流量对各浏览器比例皆极低,仅占Edge和Google的0.72%及0.5%,Safari的0.36%,以及Firefox Beta 62的1.2%。
Firefox及Chrome已支持TLS 1.3,Edge和Safari则正在开发中。