Gamla TLS-standarder på fallrepet

Stödet för TLS 1.0 och 1.1 slopasI förra veckan meddelade de fyra största webbläsarleverantörerna (Google, Apple, Microsoft och Mozilla) att deras webbläsare (Chrome, Safari, Firefox och Edge/IE) helt kommer att ta bort stödet för de föråldrade TLS-versionerna 1.1 och TLS 1.0 i början av 2020.

TLS (Transport Layer Security) är ett krypteringsprotokoll som används för att säkra anslutningar på webben. TLS är en väsentlig del av säkerheten på nätet, eftersom protokollet säkerställer datakommunikation mellan webbläsaren och destinationsservern. Enkelt förklarat möjliggör TLS webbplatsanslutningar som är konfidentiella, autentiserade och skyddade mot avlyssning och manipulation, så att det blir extremt mycket svårare för cyberkriminella att spionera på användare eller stjäla värdefull information som till exempel inloggningsuppgifter och kreditkortsnummer. TLS har förstås dragit till sig mycket intresse från såväl IT-säkerhetsvärlden som från deras antagonister, de cyberkriminella. Genom åren har ett antal säkerhetsproblem uppmärksammats och nya versioner av TLS har rullats ut för att åtgärda dessa problem.

Den ursprungliga versionen av protokollet, TLS 1.0, som är starkt baserad på Netscapes SSL 3.0, publicerades första gången i januari 1999. TLS 1.1 anlände 2006, medan TLS 1.2 släpptes 2008 med många nya möjligheter och dessutom fixar för ett större antal säkerhetsbrister. Och slutligen kom version 1.3 tidigare i år. Oreparabla säkerhetsbrister i SSL 3.0 gjorde att webbläsares stöd för det protokollet upphörde helt redan 2014. Trots det brukar de flesta av oss fortfarande oftast använda SSL som term när vi pratar om krypterade webbplatsanslutningar, eftersom det är vad de flesta känner till det som, men faktum är att majoriteten av oss alltså använt efterföljaren TLS sedan 1999. Och om vi betänker att den första versionen fyller 20 nästa år så är det trots allt en evighet i IT-världen.

Den huvudsakliga anledningen till att TLS 1.0 och TLS 1.1 idag anses vara osäkra är att de använder sig av föråldrade algoritmer och kryptosystem som har visat sig sårbara, till exempel SHA-1 och MD5. De saknar också många moderna funktioner och är mottagliga för vissa typer av riktade attacker. Apple, Google och Microsoft pekade alla på att slopandet av stödet sannolikt kommer att ha en minimal inverkan eftersom det bara är en mindre del av de anslutningar som görs med Safari, Chrome och Edge/IE fortfarande använder TLS 1.0 eller TLS 1.1.

Få webbplatser använder äldre TLS

De flesta webbplatser stöder alltså redan TLS 1.2,  och TSL 1.0- och 1.1-krypterad trafik är relativt sällsynt för webbläsare. Både Google och Microsoft pekade på att mindre än 1 procent av de dagliga anslutningarna till Chrome och Edge använde 1.0 eller 1.1, Mozilla uppgav att 1,2 procent av de anslutningar som använt betan av Firefox 62 i augusti och september förlitade sig på protokollen (men totalt 1,4 procent av Firefox-anslutningarna sett till alla versioner) och Apple hävdade att TLS 1.0 och 1.1 stod för mindre än 0,4 procent av alla anslutningar till Safari.

Webbläsarjättarna kommer trots detta att ge webbplatsägarna relativt lång tid att agera innan sladden klipps. ”Vi förstår att en uppgradering av något så grundläggande som TLS kan ta lite tid. Denna förändring påverkar ett stort antal webbplatser. Det är därför vi gör detta tillkännagivande så långt före borttagning av stödet i mars 2020”, meddelade till exempel Mozilla.

Den nuvarande rekommendationen är som sagt att de webbplatser (trots allt handlar det om ganska många i antal, om än en liten andel av totalen) som fortfarande förlitar sig på byter till TLS 1.2 som också är kravet för HTTP 2.0. Vidare krävde en PCI DSS-överensstämmelse (en datasäkerhetsstandard) också att webbplatser senast den 30 juni 2018 skulle ha inaktiverat TLS 1.0-implementering. I veckan meddelade dessutom Gitlab att de också kommer att ta bort stödet för TLS 1.0 och TLS 1.1 på sin webbplats och API-infrastruktur i slutet av 2018. TLS 1.3 som alltså introducerades tidigare i år har fortfarande ett begränsat användande och i dagsläget är det bara Chrome och Firefox som implementerat stöd för den nya versionen, medan Safari och Edge väntas få det inom de närmaste månaderna.

Den här artikeln är skriven utav Binero och hämtad från Klicka här för att gå till orginal

Du kanske gillar

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More