蘋果微軟谷歌Mozilla聯(lián)合發(fā)布:將在2020年棄用TLS 1.1和TLS 1.0標(biāo)準(zhǔn)
日前,蘋果、微軟、谷歌和Mozilla聯(lián)合發(fā)布,將在2020年棄用TLS 1.1和TLS 1.0標(biāo)準(zhǔn)。
關(guān)于TLS
TLS全稱為:Transport Layer Security——安全傳輸層協(xié)議,用于在兩個(gè)通信應(yīng)用程序之間提供保密性和數(shù)據(jù)完整性。
目前TLS協(xié)議存在四個(gè)個(gè)版本:TLS 1.0、1.1和1.2、1.3。
TLS 1.0于1999年發(fā)行,至今將近有20年,業(yè)內(nèi)公認(rèn)的過(guò)時(shí)并且多年來(lái)易受各種攻擊的版本,其支持較弱加密,對(duì)當(dāng)今網(wǎng)絡(luò)連接的安全已失去應(yīng)有的保護(hù)效力。
TLS 1.1雖沒(méi)有任何已知的協(xié)議漏洞,但是它卻共享支持錯(cuò)誤加密。因而存在一個(gè)現(xiàn)象,就是大部分軟件都會(huì)跳過(guò)直接使用TLS 1.2,而很少看到使用TLS 1.1。
幾乎每個(gè)使用互聯(lián)網(wǎng)的人都正在使用TLS 1.2,這是當(dāng)前最新的協(xié)議版本(TLS 1.3發(fā)行在即)。目前該版本是唯一被密碼學(xué)家所推薦且可以稱得上是“現(xiàn)代”的協(xié)議版本。
如果說(shuō)HTTP/2是當(dāng)前互聯(lián)網(wǎng)Web發(fā)展的討論熱點(diǎn)之一,那么下一個(gè)熱點(diǎn)應(yīng)該就是TLS 1.3了。IETF(國(guó)際互聯(lián)網(wǎng)工程任務(wù)組)從2014年就著手制定TLS 1.3,直到今年的8月份正式發(fā)布標(biāo)準(zhǔn)。
TLS 1.3較前兩個(gè)版本有突破性改進(jìn),其中包括,握手更快從而加快連接速度;簡(jiǎn)化支持的加密方式,最終降低了協(xié)議的復(fù)雜性也消除了不安全的密碼。
舊TLS廣泛存在
很明顯,是時(shí)候該停止使用這些過(guò)時(shí)的協(xié)議版本了,但是互聯(lián)網(wǎng)上的事兒幾乎終止和終止還是有著很大的區(qū)別的。
目前為止,仍有用戶因其軟件落后而無(wú)法實(shí)現(xiàn)版本的升級(jí)。TLS 1.2雖早在2008年就已發(fā)布,但是卻在一些主流平臺(tái)和瀏覽器上缺席過(guò)一段時(shí)間。Internet Explorer直到2013年發(fā)行11版本才實(shí)現(xiàn)支持TLS 1.2;而安卓版本在5.0(于2014年發(fā)行)之前也僅支持TLS 1.0,目前仍有將近18%的安卓設(shè)備繼續(xù)使用此版本。
TLS 1.0和1.1目前在互聯(lián)網(wǎng)上依舊存活,本身可以說(shuō)就是一種安全隱患,這些協(xié)議幾乎得到了服務(wù)器的普遍支持,但是從客戶端使用上來(lái)說(shuō)卻幾乎是截然相反的局面。使用這些版本的客戶端會(huì)遭受其缺陷所致的負(fù)面后果?;ヂ?lián)網(wǎng)的其余部分則給降級(jí)攻擊(該攻擊會(huì)迫使用戶降級(jí)使用更弱的TLS版本以利用已知漏洞)留有可乘之機(jī),從而造成不必要的損害。對(duì)于大部分此類服務(wù)器,為了“以防萬(wàn)一”仍留有舊版的TLS,或者在啟用新版本后根本就忘了關(guān)閉舊版協(xié)議。
TLS 1.3時(shí)代開(kāi)啟
隨著TLS 1.3標(biāo)準(zhǔn)的發(fā)布,安全協(xié)議的下一代即將登場(chǎng)。實(shí)際該協(xié)議還在草案時(shí)期,主流瀏覽器已經(jīng)開(kāi)始行動(dòng)。Mozilla表示計(jì)劃于2018年10月發(fā)布的Firefox 63中支持最終版本。而Chrome瀏覽器也在65版本中引入了對(duì)新版本(基于之前的草案)的支持,OpenSSL官方宣布新版本OpenSSL 1.1.1會(huì)提供TLS 1.3的支持,這當(dāng)然是個(gè)好消息。對(duì)用戶來(lái)說(shuō),這意味著訪問(wèn)互聯(lián)網(wǎng)將會(huì)更加安全,網(wǎng)絡(luò)的響應(yīng)速度將會(huì)更加快速。
目前TLS 1.2已經(jīng)是蘋果平臺(tái)上的標(biāo)準(zhǔn),已經(jīng)運(yùn)行在99.6%的Safari連接之上,而TLS 1.0和1.1占所有連接的比例不到0.36%。Safari在MacOS High Sierra上就已經(jīng)支持TLS 1.3協(xié)議了,但默認(rèn)情況下是禁用的。你可以通過(guò)運(yùn)行terminal命令手動(dòng)啟用它以進(jìn)行測(cè)試,不過(guò)考慮到標(biāo)準(zhǔn)普及和瀏覽器針對(duì)其做正式更新,可能還需要少許幾個(gè)月時(shí)間。
蘋果軟件工程師Christopher Wood在WebKit最新博文中提出了棄用TLS 1.0和1.1以支持1.2和1.3新協(xié)議方案。蘋果的計(jì)劃是2020年3月在iOS和macOS的版本更新中棄用Safari對(duì)TLS 1.0和1.1的支持。
谷歌Chrome、Mozilla Firefox和微軟Edge和Internet Explorer——也將在同一個(gè)時(shí)間點(diǎn)(2020年初)放棄對(duì)TLS 1.1和TLS 1.0的支持。TLS 1.2成為主流協(xié)議,各大瀏覽器也會(huì)鼓勵(lì)網(wǎng)站和公司盡快增加對(duì)TLS 1.3的支持。