CC-BY-CA Vadim Rybalko, berdasarkan meme
Kelompok Kerja Insinyur Internet IETF telah menghentikan protokol enkripsi TLS 1.0 dan 1.1. RFC yang relevan telah secara resmi menerima status "bersejarah" dengan sebuah catatan
deprecated
.
Bendera tersebut
deprecated
menunjukkan bahwa IETF sangat melarang penggunaan protokol ini. Untuk alasan keamanan, diperlukan penonaktifan dukungan untuk TLS 1.0 dan 1.1 jika memungkinkan. Hal ini dinyatakan dalam RFC 8996 yang diterbitkan . Mengapa tidak mungkin untuk mendukung protokol TLS 1.0 dan 1.1 dijelaskan secara rinci di paragraf 3, 4, dan 5 dari dokumen ini.
Seperti dijelaskan oleh IETF, menghapus dukungan untuk versi lama dari pustaka dan perangkat lunak "mengurangi permukaan serangan, mengurangi potensi kesalahan konfigurasi, dan membuat pustaka dan produk lebih mudah dipelihara".
Seiring dengan versi TLS yang lebih lama, protokol Datagram TLS (DTLS) versi 1.0 (RFC 4347) juga tidak digunakan lagi, dan hanya ini, karena versi 1.1 tidak keluar.
TLS 1.0 berusia 22 tahun tahun ini. Sejak diadopsi, menjadi lebih dipahami bagaimana protokol enkripsi harus dirancang. Persyaratan untuk keandalan cipher telah meningkat. Sayangnya, TLS 1.0 dan 1.1 tidak memenuhi persyaratan ini.
Yang terburuk adalah TLS 1.0 dan 1.1 tidak mendukung cipher kriptografi modern. Misalnya, saat berjabat tangan, mereka harus menggunakan algoritme hashing SHA-1. Dalam versi TLS ini, tidak mungkin menyetel algoritme hashing yang lebih kuat untuk tanda tangan ServerKeyExchange atau CertificateVerify.
Draf RFC 8996 ini diterbitkan pada 14 September 2018. Antara lain, disebutkan bahwa algoritma SHA-1 dengan kekuatan kriptografi 2 ^ 77 tidak dapat dianggap aman menurut standar modern: "2 ^ 77 operasi [untuk serangan] berada di bawah batas keamanan yang dapat diterima."
Kita berbicara tentang serangan BEAST (Browser Exploit Against SSL / TLS) pada TLS 1.0 dan 1.1, atau lebih tepatnya, pada cipher blok, di mana vektor inisialisasi untuk pesan
n
blok enkripsi terakhir dari pesan sebelumnya digunakan
(n-1)
.
Pengembang dari semua browser utama segera setuju untuk mematuhi rekomendasi IETF.
Browser Chrome adalah yang pertama melepaskan dukungan untuk versi lama TLS pada Januari 2019 . Dimulai dengan versi 79, peringatan ditampilkan untuk protokol lama di konsol DevTools, dan penghentian total direncanakan untuk versi 81 Chrome pada Maret 2020 (versi pratinjau - mulai Januari 2020). Pada saat yang sama, pengabaian TLS 1.0 dan 1.1 diumumkan oleh Microsoft , Mozilla , dan Apple .
Namun, semuanya tidak berjalan sesuai rencana. Pada Maret 2020 Firefox untuk sementara menolak untuk menghapus dukungan untuk TLS 1.0 dan 1.1 . Secara formal, hal ini dilakukan karena virus corona (lihat tangkapan layar di bawah), namun pada kenyataannya, pengembang Mozilla takut rekan Google akan mundur dan meninggalkan dukungan untuk TLS 1.0 dan 1.1, jadi Firefox akan menjadi satu-satunya browser tanpa dukungan ini.
Namun pada akhirnya, dukungan terhadap protokol lama di browser tetap saja dinonaktifkan. Jika perlu, Anda dapat mengubah pengaturan di Firefox
security.tls.version.enable-deprecated
.
TLS 1.0 dan 1.1 secara bertahap dihapus dari aplikasi dan layanan. Amazon, CloudFlare, GitHub, KeyCDN, PayPal dan layanan web lainnya telah melakukan ini. Sejak 15 Januari 2020, dukungan untuk protokol lama telah dinonaktifkan pada sumber daya Habr .