3月起,浏览器“神奇四侠”正式停止对TLS 1.1和TLS 1.0的支持

2020-03-09 5,884

Web浏览器,相信对于每天上网的你来说都并不陌生,你知道目前全球最主流的浏览器厂商是哪四家吗?

答案是:① 谷歌(Chrome) ② 微软(IE和Edge) ③ 苹果(Safari) ④ Mozilla(Firefox)


1583718316857825.jpg


在安全和隐私方面,这四大Web 浏览器厂商在今年初正式实行一个Real默契的决定,那就是从2020年3月起,停止支持TLS 1.1及TLS 1.0版本安全协议

届时谷歌(Chrome)、Mozilla(Firefox)、微软(IE和Edge) 、苹果(Safari)  都会发布新版浏览器执行这个策略。

时间追溯到2018年,四大Web 浏览器巨头(苹果、谷歌、Mozilla、微软)发表了一项史无前例的联合声明,宣布在2020年初禁用TLS 1.0和TLS 1.1支持的决定。这意味着TLS 1.2实际上将成为默认的主流设置,各大浏览器也会鼓励网站和公司尽快增加对TLS 1.3的支持。

1583718384881374.png


也许你会有一连串黑人问号,TLS是什么?TLS在浏览器传输中起到什么安全作用?TLS与SSL有什么区别?为什么TLS 1.1及TLS 1.0协议要被禁止呢?

1583718427240473.jpg


首先我们要从TLS开始说起……

浏览新闻、收发邮件、在线学习、电子商务……互联网,正是因为有加密技术,SSL(安全套接层协议)与TLS (传输层安全),尤其是TLS,正是有了这一关键技术提供在线私密通信方法,有效的防止网站的数据丢失与数据泄密,互联网才呈现出今天这种如我们所知的繁荣景象。



u22191867522845450994fm26gp0.jpg


TLS vs SSL:数据传输的安全保镖


当今的互联网由 7个层面组成的:物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。应用层是最抽象的一层,是最接近终端用户的一层。SSL/TLS是被设计用来在一个计算机网络中提供通信安全的加密协议,介于传输层和应用层之间。它通过"握手协议"和"传输协议"来解决传输安全的问题。这个过程可以确保终端用户使用网络服务时,通信的安全性和保密性。目前,全球超过70%的互联网流量通过SSL/TLS进行保护。

1583718516449265.jpg

SSL(Secure Sockets Layer安全套接层协议)是位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持的协议,它主要通过加密的方式保证传输数据的安全。

而TLS(Transport Layer Security 传输层安全)青出于蓝,更好地继承了SSL的优点,是SSL协议被IETF(互联网工程任务组)标准化后的协议。因此,当我们谈及TLS和SSL时,一个非常重要的概念就是SSL是旧版的协议,TLS是SSL的继承者,是更为安全的升级版SSL,是当代加密的标准协议


TLS保护Web应用程序和Web浏览器之间通信的标准,通常位于可靠传输层上的客户端和应用程序之间。TLS使HTTP协议栈增加了安全性,为传输的数据加密,变成了目前大规模使用的HTTPS,所有使用 HTTPS 发送的数据都可通过传输层安全协议 (TLS) 得到保护。



TLS的发展历程

● 1994年,NetScape公司设计了SSL协议(Secure Sockets Layer)的1.0版,但是未发布。

● 1995年,NetScape公司发布SSL 2.0版,很快发现有严重漏洞。

● 1996年,SSL 3.0版问世,得到大规模应用。

● 1999年,SSL的升级版TLS 1.0版,TLS 1.0协议诞生

● 2006 年,TLS 1.1 协议正式面世

● 2008 年,TLS 1.2协议正式发布

● 2019年,IETF(互联网工程任务组)在8月正式发布了TLS 1.3,代表了整体安全上的大飞跃

● 2019年,支付卡产业数据安全标准(PCI DSS)强制取消了支付卡行业对TLS 1.0的支持,同时强烈建议取消对TLS 1.1的支持。

● 2020年,谷歌 Chrome、微软 IE、苹果Safari、火狐Firefox停止支持TLS 1.1及TLS 1.0版本安全协议, TLS 1.2成为默认的设置。


TLS 1.0和TLS 1.1协议为何逐渐被摒弃?

最主要的原因:极不安全。TLS协议目前有4个版本——TLS1.0、1.1、1.2和1.3(最新版本)。TLS 1.0和TLS 1.1这两个旧版本协议使用的是过时的算法和加密系统,比如SHA-1和MD5,这些算法和系统十分脆弱,存在重大安全漏洞,容易受到降级攻击的严重影响,例如POODLE和BEAST。

苹果、谷歌和微软都表示,这一决定产生的影响可能是微乎其微的,因为Safari、Chrome、Edge和Internet Explorer浏览器的连接只有很少一部分仍然在使用TLS 1.0或TLS 1.1。到目前为止,由于大多数网站都支持TLS 1.2或TLS 1.3版本协议,所以除了部分长久没有更新架构的行业服务器外,一般互联网用户的浏览不会遇到太大问题。


1583718609571103.png

图:Alexa排名前10万网站支持协议的具体情况


亚洲诚信建议:网站所有者为服务器安装部署SSL证书后,开启支持TLS 1.2或以上版本的加密协议即可。



如何快速检测我的TLS版本?

可通过证书部署检测网站:MySSL.com ,TLS版本一目了然!



✭ 查看浏览器的SSL/TLS兼容性 ✭


打开MySSL.com→ 点击“工具箱”菜单 → 选择”SSL 客户端检测“ 即可成功检测

1583718992659699.png

↓↓↓

1583718873328423.png

图:使用Chrome浏览器检测示例图(同样适用其他浏览器)


✭ 查看网站的支持协议版本 ✭

打开MySSL.com→ 直接在地址栏输入需要检测的HTTPS网站→ 生成的检测信息中即可查看“协议与套件”

1583719105392755.png

↓↓↓

1583719146855960.png


本文作者:TrustAsia亚洲诚信

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/124835.html

Tags:
评论  (0)
快来写下你的想法吧!

TrustAsia亚洲诚信

文章数:20 积分: 92

TrustAsia亚洲诚信是亚数信息科技(上海)有限公司应用于信息安全领域的品牌,秉承以技术服务为核心,致力于对符合本地化的SSL证书技术及相关网络信息安全实施方案的研究和推广,作为DigiCert/Symantec亚太区白金战略合作伙伴和首席安全技术专家战略合作伙伴,在数字证书领域和互联网安全领域位居领先地位,以高度专业化水准为各行业提供国际知名品牌SSL数字证书、TrustAsia®自主品牌的SSL证书以及自主知识产权的SSL证书管理、SSL协议级监测和证书风险评测等一系列网络信息安全管理解决方案,深受业界的持续关注和广泛认可。

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号