V týchto dňoch môžete na viacerých miestach naraziť na informácie o (ne)podpore protokolu TLS 1.0 a 1.1. Kruh sa po rokoch uzatvára a pridáva sa aj WebSupport. Na hostingových serveroch plánujeme vypnúť podporu TLS 1.0 a 1.1. Ide o roky staré protokoly, ktoré nespĺňajú súčasné bezpečnostné kritéria.
TLS (Transport Layer Security ) verzie 1.0 pochádza z roku 1999, nahradilo protokol SSL 3.0. V roku 2006 prišla ďalšia verzia TLS 1.1. Obe používajú prekonané algoritmy/funkcie MD5 a SHA-1. A dnešným bezpečnostným štandardom nevyhovujú.
Za bezpečnú sa považuje až verzia TLS 1.2 z roku 2008 (mimochodom prerekvizita k HTTP/2 zlepšujúce výkon) a najnovšia verzia TLS 1.3 z roku 2018. Na našich serveroch ostanú dostupné už iba tieto 2 verzie.
K ukončeniu podpory TLS 1.0 a TLS 1.1 počas marca 2020 pristupujú aj globálni hráči: Google, Microsoft, Apple, Mozilla v ich webových prehliadačoch.
Platformy, ktoré nepodporujú TLS 1.2
- Android 4.3 a staršie verzie
- Firefox version 5.0 a staršie verzie
- Internet Explorer 8–10 na Windows 7 a staršie verzie
- Internet Explorer 10 na Windows Phone 8.0
- Safari 6.0.4/OS X 10.8.4 a staršie verzie
Pokiaľ nepoužívate vyššie uvedené platformy, ste v bezpečí. Aj teraz už zrejme TLS 1.0/1.1 nepoužívate.
Čo to znamená a dopady
Vo všeobecnosti je riešením používať moderné platformy / aktualizované aplikácie. Napr. Google Chrome 78+, Firefox 71+, Microsoft Edge/Internet Explorer 11.
Ak používate na pripojenie/prenos súborov vlastné aplikácie ešte stále závislé na TLS 1.0/1.1, je potrebné zabezpečiť zmenu ich nastavení/aktualizáciu.
Z hľadiska bezpečnosti si prilepšíte. Napr. SSL Labs všetky weby s podporou TLS 1.0/1.1 penalizuje – najlepšie možné hodnotenie je B. Po zmene by ste pri použití SSL a HTTPS mali bez problémov dostať A hodnotenie. Podobný test ponúka aj https://www.cdn77.com/tls-test.
Ďalšie vylepšenia pre TLS 1.2
V ďalšom kroku by sme chceli optimalizovať aj samotné TLS 1.2. A pozrieť sa na tzv. cipher suites označené ako WEAK – slabé. Naša interná analýza ukázala, že 99,9% requestov je v poriadku a obmedzenia môžu nastať iba pri <0,01%.
Výsledkom by malo byť ešte lepšie hodnotenie a bezpečnosť vašich hostingov.
