Η Microsoft ανακοίνωσε χθες ότι θα καθυστερήσει την απενεργοποίηση των μη ασφαλών πρωτοκόλλων Transport Layer Security (TLS) 1.0 και 1.1 στους web browsers της, λόγω της τρέχουσας παγκόσμιας κατάστασης. Η υποστήριξη της απενεργοποίησης από προεπιλογή θα γίνει μάλλον κατά το δεύτερο εξάμηνο του 2020, πιθανότατα τον Ιούλιο.
“Για το νέο Microsoft Edge (βασισμένο στο Chromium), τα πρωτόκολλα ΤLS 1.0 και 1.1 δεν θα απενεργοποιηθούν από προεπιλογή πριν την κυκλοφορία της έκδοσης Microsoft Edge 84 (που σχεδιάζεται επί του παρόντος για τον Ιούλιο του 2020)”, είπε ο Kyle Pflug, επικεφαλής της ομάδας Microsoft Edge Developer.
“Για όλες τις υποστηριζόμενες εκδόσεις του Internet Explorer 11 και του Microsoft Edge Legacy (με βάση το EdgeHTML), τα TLS 1.0 και TLS 1.1 θα απενεργοποιηθούν από προεπιλογή στις 8 Σεπτεμβρίου 2020″.
Οι χρήστες θα μπορούν αν θέλουν να επαναφέρουν τα ΤLS 1.0 και το TLS 1.1 ακόμη και μετά την απενεργοποίηση, όμως η Microsoft συνιστά τη μετάβαση σε νέα πιο ασφαλή πρωτόκολλα. Οι πιο πρόσφατες εκδόσεις ΤLS διαθέτουν πιο σύγχρονη κρυπτογράφηση και υποστηρίζονται ευρέως από τους σύγχρονους browsers.
 1.0 και 1.1 στους web browsers){kind=link}
Σχέδια «συνταξιοδότησης» των πρωτοκόλλων TLS
Νωρίτερα αυτό το μήνα, η Mozilla δήλωσε ότι η υποστήριξη για τα μη ασφαλή ΤLS θα ενεργοποιηθεί εκ νέου στην τελευταία έκδοση του Firefox, ώστε να μπορούν οι χρήστες να έχουν πρόσβαση σε κυβερνητικά sites που παρέχουν πληροφορίες για τον COVID-19. Τα sites αυτά δεν έχουν ακόμη αναβαθμιστεί σε νεότερες εκδόσεις TLS.
Λίγες μέρες νωρίτερα, η Mozilla είχε καταργήσει την υποστήριξη των ΤLS 1.0 και TLS 1.1 στον Firefox 74.0 που κυκλοφόρησε στις 10 Μαρτίου.
Η «συνταξιοδότηση» αυτών των μη ασφαλών πρωτοκόλλων από τη λίστα των υποστηριζόμενων πρωτοκόλλων είχε ανακοινωθεί ήδη από τον Οκτώβριο του 2018, από όλους τους μεγάλους κατασκευαστές browser (Microsoft, Google, Apple, Mozilla).
Η Microsoft είχε πει τότε ότι αυτά τα πρωτόκολλα θα απενεργοποιηθούν κάποια στιγμή, κατά το πρώτο εξάμηνο του 2020.
Πάνω από το 97% των sites, που συμμετείχαν στην έρευνα της Qualys SSL Labs, υποστηρίζουν τα μη ασφαλή πρωτόκολλα ΤLS 1.2 ή TLS 1.3. Επομένως, είναι σημαντικό να εφαρμοστούν νέα πιο ασφαλή πρωτόκολλα για να προστατευτεί αυτός ο τεράστιος αριθμός sites.
Σύμφωνα με στατιστικά στοιχεία χρήσης που είχαν μοιραστεί τότε η Microsoft, η Google, η Apple και η Mozilla, η μεγάλη πλειοψηφία των χρηστών τους δεν χρησιμοποιεί πλέον τα πρωτόκολλα αυτά.
Από την άλλη μεριά, το Netcraft ανέφερε στις αρχές Μαρτίου ότι τα μη ασφαλή πρωτόκολλα TLS 1.0 και TLS 1.1 εξακολουθούν να χρησιμοποιούνται σε περισσότερα από 850.000 sites, εκθέτοντας τους χρήστες σε μεγάλο κίνδυνο.
“Η χρήση του TLS 1.0 σε sites ηλεκτρονικού εμπορίου, ως μέτρο προστασίας των δεδομένων χρήστη, απαγορεύτηκε από το Payment Card Industry Data Security Standard, από τον Ιούνιο του 2018, γι’ αυτό πολλά sites έχουν ήδη μεταβεί σε άλλα πρωτόκολλα”, όπως εξήγησε το Netcraft.