Končí podpora protokolu TLS 1.0 a 1.1
12.02.2020   
Končí podpora protokolu TLS 1.0 a 1.1

Postupný útěk od TLS 1.0 a 1.1 lze sledovat už delší dobu. Společnosti Microsoft, Google, Mozilla či Apple v době oslav 20. narozenin protokolu oznámily záměr o ukončení jeho podpory v prohlížečích Edge, Chrome, Firefox a Safari během prvního kvartálu 2020. Ukončení podpory samozřejmě neoznamují jen firmy vyvíjející webové prohlížeče, ale i další. Mezi ně se řadí například Cisco, které ukončení podpory starších verzí TLS ohlásilo k 31. březnu 2020.

První verze protokolu TLS (Transport Layer Security) byla světu představena v roce 1999, jako nástupce protokolu SSL z roku 1996.  V současnosti je nejvyšší verzí TLS 1.3, první dvě jsou náchylné na celou řadu útoků, například BEAST, či POODLE. Mezi nejvýznamnější využití protokolu TLS patří jeho „spojení“ s http, jehož výsledkem je (zjednodušeně řečeno) https.

TLS 1.2 je v současné chvíli nejpoužívanější verzí TLS (viz níže). Mezi hlavní rozdíly oproti starším verzím patří například MD5/SHA1 v PRF nahrazena SHA-256 či podpora autentizovaných šifrování pro data módy. V pořadí třetí verze TLS není pro svět žádnou novinkou, představena byla už v roce 2008.

Google v roce 2018 zveřejnil informaci, podle které bylo přes prohlížeč Chrome pouze 0,5 % HTTPS spojení navázáno s protokoly TLS 1.0 nebo TLS 1.1. V roce 2020 poměr klesl na 0,3 %. Mozilla se z dat mezi srpnem a zářím 2018 mohla pochlubit 1,11 % pro TLS 1.0 a 0,09 % pro TLS 1.1. Pro rozmezí leden až únor 2020 se však dostáváme na 0,26 % pro TLS 1.0 a 0.01 % pro TLS 1.1.
 TLS 1.0 a 1.1

Z klesajících poměrů je patrné, že od užití obou protokolů se upouští a v naprosté většině převládají jejich novější verze.

Pokud ovšem server zmíněné protokoly stále podporuje, může toho být zneužito útočníkem, který je využije namísto novějších verzí. Doporučuje se proto staré protokoly na serveru zakázat, čímž ovšem může být zamezeno připojení některým prohlížečům. Otestovat takové chování lze například pomocí ssltest (https://www.ssllabs.com/ssltest/). Mezi prohlížeče, které vyžadují starou verzi TLS, žádný z moderních nepatří.

Administrátoři měli na přechod poměrně dlouhou dobu. Pokud však doteď otáleli, mají zhruba měsíc na nápravu. Od března by se jinak museli připravit na možné dopady, například v podobě nedostupných webů, které provozují.

Doporučení je tedy jednoduché: zkontrolujte verze TLS na vašich serverech co nejdříve a v případě potřeby přejděte na novější. S analýzou stavu a mitigací rizik vám samozřejmě rádi pomůžeme i my, v AEC.

 

David Pecl

Jakub Rubáš
Security Specialist

AEC a.s.
Security Technologies Division