Em março, a IETF (Internet Engineering Task Force) finalmente anunciou a aprovação do TLS 1.3, a nova versão do protocolo Transport Layer Security.
Foi uma longa jornada, a IETF tem analisado propostas para o TLS 1.3 desde abril de 2014, a versão final é o resultado do trabalho em 28 rascunhos.
O protocolo TLS foi projetado para permitir que aplicações cliente / servidor comuniquem através da Internet de maneira segura, evitando falsificação de mensagens, espionagem e adulteração.
O TLS 1.2 e o TLS 1.3 são bem diferentes, a nova versão introduz muitos recursos importantes para melhorar o desempenho e tornar o protocolo mais resiliente a certos ataques, como a técnica ROBO.
Surpreendentemente, as versões TLS 1.0 e TLS 1.1 ainda são adotadas on-line, em muitos casos, expondo a privacidade dos utilizadores.
Alguns especialistas argumentam que a melhor maneira de tornar a Internet mais segura é banir o fallback do aplicativo para os padrões TLS 1.0 e 1.1.
O suporte para TLSv1.0 foi removido ou será até julho de 2018 a partir de vários padrões, produtos e serviços, incluindo 3GPP 5G, CloudFare, Balanceamento de carga Elastic da Amazon, o GitHub.
O rascunho também destaca que o suporte a versões mais antigas também exige esforço adicional para a manutenção de bibliotecas e produtos.
“This document [if approved] formally deprecates Transport Layer Security (TLS) versions 1.0 [RFC2246] and 1.1 [RFC4346] and moves these documents to the historic state. These versions lack support for current and recommended cipher suites, and various government and industry profiiles of applications using TLS now mandate avoiding these old TLS versions.” reads the Draft.
“Pragmatically, clients MUST NOT send a ClientHello with ClientHello.client_version set to {03,01}. Similarly, servers MUST NOT send a ServerHello with ServerHello.server_version set to {03,01}.” continues the draft. “Any party receiving a Hello message with the protocol version set to {03,01} MUST respond with a ‘protocol_version’ alert message and close the connection.”
The publication of TLS 1.3 will happen very soon, it is currently under the final review.