Končí podpora protokolu TLS 1.0 a 1.1
12. 2. 2020
Končí podpora protokolu TLS 1.0 a 1.1

Postupný útek od TLS 1.0 a 1.1 je možné sledovať už dlhšiu dobu. Spoločnosti Microsoft, Google, Mozilla či Apple v dobe osláv 20. narodenín protokolu oznámili zámer o ukončenie jeho podpory v prehliadačoch Edge, Chrome, Firefox a Safari behom prvého kvartálu 2020. Ukončenie podpory samozrejme neoznamujú iba firmy vyvíjajúce webové prehliadače, ale i ďalší. Medzi nich sa radí napríklad Cisco, ktoré ukončenie podpory starších verzií TLS ohlásilo k 31. marcu 2020.

Prvá verzia protokolu TLS (Transport Layer Security) bola svetu predstavená v roku 1999, ako nástupca protokolu SSL z roku 1996.  V súčasnosti je najvyššou verziou TLS 1.3, prvé dve sú náchylné na celú radu útokov, napríklad BEAST, či POODLE. Medzi najvýznamnejšie využitie protokolu TLS patrí jeho „spojenie" s http, čoho výsledkom je (zjednodušene povedané) https.

TLS 1.2 je v súčasnej chvíli najpoužívanejšou verziou TLS (viď nižšie). Medzi hlavné rozdiely oproti starším verziám patrí napríklad MD5/SHA1 v PRF nahradená SHA-256 či podpora autentizovaných šifrovaní pre dáta módy. V poradí tretia verzia TLS nie je pre svet žiadnou novinkou, predstavená bola už v roku 2008.

Google v roku 2018 zverejnil informáciu, podľa ktorej bolo cez prehliadače Chrome iba 0,5 % HTTPS spojení naviazaných s protokolmi TLS 1.0 alebo TLS 1.1. V roku 2020 pomer klesol na 0,3 %. Mozilla sa z dát medzi augustom a septembrom 2018 mohla pochváliť 1,11 % pre TLS 1.0 a 0,09 % pre TLS 1.1. Pre rozmedzie január až február 2020 sa však dostávame na 0,26 % pre TLS 1.0 a 0.01 % pre TLS 1.1.  TLS 1.0 a 1.1

Z klesajúcich pomerov je zrejmé, že od použitia oboch protokolov sa upúšťa a vo veľkej väčšine prevládajú ich novšie verzie.

Ak však server zmienené protokoly stále podporuje, môže to byť zneužité útočníkom, ktorý ich využije namiesto novších verzií. Odporúča sa preto staré protokoly na serveroch zakázať, čím však môže byť zamedzené pripojenie niektorým prehliadačom. Otestovať takéto chovanie možno napríklad pomocou ssltest (https://www.ssllabs.com/ssltest/). Medzi prehliadače, ktoré vyžadujú starú verziu TLS, žiadny z moderných nepatrí.

Administrátori mali na prechod pomerne dlhú dobu. Pokiaľ však doteraz váhali, majú zhruba mesiac na nápravu. Od marca by sa inak museli pripraviť na možné dopady, napríklad v podobe nedostupných webov, ktoré prevádzkujú.

Odporučenie je teda jednoduché: skontrolujte verzie TLS na vašich serveroch čo najskôr a v prípade potreby prejdite na novšiu. S analýzou stavu a mitigáciou rizík Vám samozrejme radi pomôžeme i my, v AEC.

 

David Pecl

Jakub Rubáš
Security Specialist

AEC a.s.
Security Technologies Division