圖片來源: 

Apple

周一微軟蘋果 GoogleMozilla四大廠商分別宣佈將在2020年終止對網頁加密驗證協定TLS (Transport Layer Security) 1.0及1.1版的支援。

微軟旗下的Internet Explorer (IE)及Microsoft Edge會在2020年上半預設關閉TLS1.0及1.1。其中最早版本的TLS 1.0,到明年1月19日就屆滿20年。微軟Edge資深計畫經理Kyle Pflug指出,對一個安全技術而言,20年沒有修改是太久了。雖然微軟對TLS 1.0及1.1版的實作沒有發現到什麼重大漏洞,但有漏洞的第三方實作的確存在,進階到更新的版本有助於確保大家的安全。

此外,負責開發網際網路標準的IETF(Internet Engineering Task Force)九月公佈TLS1.0和1.1版的退場草案,今年內可望將正式宣佈,屆時IETF也將不再處理這些版本中的協定漏洞。TLS 1.3版則是已於今年三月通過

Google工程師David Benjamin表示,舊版TLS使用MD5和SHA-1,兩者目前都已被破解,而且多所漏洞。TLS 1.0也已無法符合PCI-DSS(PCI Data Security Standard)認證的要求。此外,TLS 1.2要求HTTP/2,也更能加快網站速度。

Google將在 Chrome 72版開始TLS 1.0及1.1的除役,使用TLS 1.0和1.1的網站到時會在Chrome 72的DevTools中看到除役警告,並在Chrome 81完全關閉。使用測試版的用戶從2020年一月就會受到影響。

Firefox的早期版本(包括Beta、Developer版及Nightly)在2020年3月之前就會開始啟動TLS 1.0和1.1版的除役。而蘋果iOS和macOS中的Safari則將從2020年3月起移除對舊版TLS的完整支援。

對IE、Edge、Chrome、Safari及Firefox而言,目前皆建議網站採用TLS 1.2,而網頁連線也以TLS 1.2為主,目前TLS 1.0在1.1版的連線流量對各瀏覽器比例皆極低,僅佔Edge和Google的0.72%及0.5%,Safari的0.36%,以及Firefox Beta 62的1.2%。

Firefox及Chrome已支援TLS 1.3,Edge和Safari則正在開發中。


Advertisement

更多 iThome相關內容