Todos los principales navegadores web, incluidos Google Chrome, Apple Safari, Microsoft Edge, Internet Explorer y Mozilla Firefox, anunciaron hoy que eliminarán pronto el soporte para la comunicación TLS 1.0 (20 años) y TLS 1.1 (12 años) Protocolos de cifrado.
Desarrollado inicialmente como protocolo Secure Sockets Layer (SSL), Transport Layer Security (TLS) es un protocolo criptográfico actualizado que se utiliza para establecer un canal de comunicaciones seguro y cifrado entre clientes y servidores.
Actualmente hay cuatro versiones del protocolo TLS (TLS 1.0, 1.1, 1.2 y 1.3 ( más reciente )), pero se sabe que las versiones anteriores, TLS 1.0 y 1.1, son vulnerables a una serie de ataques críticos, como POODLE y BEAST
Dado que la implementación de TLS en todos los principales navegadores web y aplicaciones admite el proceso de negociación de baja calificación, brinda a los atacantes la oportunidad de explotar protocolos más débiles, incluso si un servidor admite la versión más reciente.
Todos los principales navegadores web eliminarán la compatibilidad con TLS 1.0 y TLS 1.1 en 2020
Según los comunicados de prensa publicados por cuatro grandes empresas, Google , Microsoft , Apple y Mozilla , sus navegadores web eliminarán completamente el soporte TLS 1.0 y 1.1 por defecto en la primera mitad de 2020.
TLS 1.2, que se lanzó hace diez años para abordar Las debilidades en TLS 1.0 y 1.1, han tenido una amplia adopción desde entonces y, por lo tanto, serán la versión por defecto de TLS a menos que la disponibilidad de TLS 1.3, que actualmente se encuentra en la etapa de desarrollo.
Según Microsoft, a medida que TLS 1.0 continúa envejeciendo, muchos sitios web ya se han trasladado a versiones más nuevas del protocolo. Hoy en día, el 94 por ciento de los sitios ya son compatibles con TLS 1.2, mientras que sólo el uno por ciento de las conexiones diarias en Microsoft Edge utilizan TLS 1.0 o 1.1.
«Dos décadas es mucho tiempo para que una tecnología de seguridad permanezca sin modificaciones. Si bien no somos conscientes de las vulnerabilidades significativas con nuestras implementaciones actualizadas de TLS 1.0 y TLS 1.1, existen implementaciones de terceros vulnerables», escribe Microsoft. .
«Pasar a versiones más nuevas ayuda a garantizar una web más segura para todos. Además, esperamos que el IETF desapruebe formalmente el TLS 1.0 y 1.1 más adelante este año, momento en el que el IETF ya no abordará las vulnerabilidades del protocolo en estas versiones».
Apple también dice que TLS 1.2 es el estándar en sus plataformas y representa el 99.6 por ciento de las conexiones TLS realizadas desde Safari, mientras que TLS 1.0 y 1.1 representan menos del 0.36 por ciento de todas las conexiones.
Google no pudo estar más de acuerdo y dice que hoy solo el 0.5 por ciento de las conexiones HTTPS hechas por Chrome usan TLS 1.0 o 1.1.
Todas las compañías de tecnología recomendaron sitios web que no son compatibles con TLS 1.2 o más recientes para que dejen de usar las versiones anteriores del protocolo tan pronto como sea posible y es práctico.
Además, el cumplimiento del Estándar de seguridad de datos PCI ( PCI DSS ) también requiere que los sitios web deshabiliten la implementación de SSL / TLS 1.0 antes del 30 de junio de 2018.
Además de estos gigantes tecnológicos, Gitlab también anunció hoy que dejará de lado el soporte para TLS 1.0 y TLS 1.1 en su sitio web y Infraestructura API a finales de 2018.
También puede deshabilitar manualmente versiones anteriores de TLS en Google Chrome abriendo Configuración → Configuración avanzada → Abrir configuración de proxy → Haga clic en la pestaña ‘Avanzada’ → En la sección ‘Seguridad’ desmarque TLS 1.0 y 1.1 y luego guarde.
Fuente: Thehackernews.com