Alguns dos navegadores de Internet mais populares, como o Google Chrome, Safari da Apple, Microsoft Edge, Internet Explorer, e Mozilla Firefox, todos eles anunciaram que em 2020 planeiam desativar o protocolo de criptografia TLS 1.0 (com mais de 20 anos) e 1.1 (com mais de 12 anos).
Desenvolvido inicialmente como protocolo SSL (Secure Sockets Layer), o Transport Layer Security (TLS) é um protocolo de criptiografia atualizado e amplamente usado para estabelecer um canal de comunicação seguro e cifrado entre clientes e servidores.
O TLS está atualmente na sua versão 1.3. As versões anteriores, 1.0 e 1.1 são conhecidas pelas suas fragilidades a ataques conhecidos como é o caso do POODLE e BEAST.
Como a implementação do TLS disponibiliza o processo de negociação downgrade, e que possibilita que os invasores explorem protocolos mais fracos, mesmo se um servidor oferecer suporte à versão mais recente — isto é, um invasor pode renegociar informando que deseja efetuar uma ligação via TLS 1.0 ao invés de 1.3.
Segundo a Microsoft, como o TLS 1.0 continua a envelhecer, muitos websites já migraram para versões mais recentes do protocolo. Hoje, 94% dos websites já suportam o TLS 1.2, enquanto apenas menos de um por cento das conexões diárias do Microsoft Edge estão a usar o TLS 1.0 ou 1.1.
“Two decades is a long time for a security technology to stand unmodified. While we aren’t aware of significant vulnerabilities with our up-to-date implementations of TLS 1.0 and TLS 1.1, vulnerable third-party implementations do exist,” Microsoft writes.
“Moving to newer versions helps ensure a more secure web for everyone. Additionally, we expect the IETF to formally deprecate TLS 1.0 and 1.1 later this year, at which point protocol vulnerabilities in these versions will no longer be addressed by the IETF.”
Todas as empresas de tecnologia recomendaram os administradores dos website que não suportam o TLS 1.2 ou mais recente, para abandorarem essas versões antigas do protocolo o mais rápido possível.
Além disso, a conformidade com o Padrão de segurança de dados (PCI DSS) do PCI também exige que os sites desabilitem a implementação de SSL / TLS 1.0 até 30 de junho de 2018.
Além desses gigantes de tecnologia, o Gitlab anunciou também a suspensão do suporte ao TLS 1.0 e ao TLS 1.1 no website e infraestrutura de API até o final de 2018.
You can also manually disable older TLS versions on Google Chrome by opening Settings → Advanced Settings → Open Proxy Settings → Click ‘Advanced’ Tab → Under ‘Security’ section uncheck TLS 1.0 and 1.1 and then save.