2020: Hàng loạt trình duyệt lớn vô hiệu hóa chuẩn bảo mật TLS 1.0 và 1.1
Theo Thehackernews, bảo mật tầng truyền tải (Transport Layer Security - TLS) là giao thức mã hóa nhằm mục đích bảo mật sự vận chuyển trên internet, thiết lập các kênh truyền thông an toàn và mã hóa giữa máy khách và máy chủ.
Hiện tại có 4 phiên bản của giao thức TLS - TLS 1.0, 1.1, 1.2 và 1.3 là mới nhất, trong đó các phiên bản cũ TLS 1.0 và 1.1 được biết đến là dễ bị tấn công bởi một số cuộc tấn công quan trọng như POODLE và BEAST. Vì việc thực thi TLS trong tất cả các trình duyệt web và ứng dụng chính hỗ trợ hạ cấp TLS nên nó có thể tạo cơ hội cho kẻ tấn công khai thác các giao thức yếu hơn ngay cả khi máy chủ hỗ trợ phiên bản mới nhất.
Chính vì vậy, báo cáo từ 4 công ty lớn gồm Google, Microsoft, Apple và Mozilla cho biết trình duyệt web của họ sẽ ngừng hỗ trợ TLS 1.0 và 1.1 theo mặc định kể từ nửa đầu năm 2020.
TLS 1.2, được phát hành cách đây 10 năm để giải quyết điểm yếu trong TLS 1.0 và 1.1, đã được hỗ trợ rộng rãi kể từ khi ra mắt, do đó nó sẽ là lựa chọn TLS mặc định. Trong khi đó TLS 1.3 hiện trong quá trình phát triển và chưa hoàn thiện.
Microsoft giải thích, nhiều trang web hiện đã chuyển sang giao thức TLS mới hơn, với 94% trang web đã hỗ trợ TLS 1.2, trong khi chỉ dưới 1% kết nối hằng ngày trong Microsoft Edge sử dụng TLS 1.0 hoặc 1.1.
Còn với Apple, công ty nói rằng TLS 1.2 là tiêu chuẩn trên các nền tảng của hãng, chiếm 99,6% kết nối TLS được tạo ra từ Safari, trong khi TLS 1.0 và 1.1 chiếm ít hơn 0,36% tất cả các kết nối. Với Google, công ty nói rằng chỉ 0,5% kết nối HTTPS được Chrome tạo ra sử dụng TLS 1.0 hoặc 1.1.
Người dùng các nền tảng trình duyệt như Google, Microsoft, Apple và Mozilla nay có thể kiểm tra tác động của việc TLS 1.0 và TLS 1.1 bị vô hiệu hóa và chuẩn bị thiết bị và mạng trước thời hạn chót.
Họ có thể thực hiện việc này bằng cách truy cập vào " Tùy chọn Internet "trong bảng điều khiển Windows, truy cập tab" Nâng cao "và bỏ chọn tùy chọn" Sử dụng TLS 1.0 "và" Sử dụng TLS 1.1 "trong phần Bảo mật.
Tất cả các công ty công nghệ đề xuất các trang web nên hỗ trợ TLS 1.2 hoặc các phiên bản mới hơn để quá trình loại bỏ các phiên bản cũ của TLS có thể diễn ra càng sớm càng tốt. Hơn nữa, việc tuân thủ chuẩn PCI Data Security (PCI DSS) cũng yêu cầu các trang web vô hiệu hóa việc triển khai SSL/TLS 1.0 trước ngày 30.6.2018.
Bên cạnh những gã khổng lồ công nghệ nói trên, Gitlab cũng tuyên bố sẽ không hỗ trợ TLS 1.0 và 1.1 trên trang web của mình và cơ sở hạ tầng API vào cuối năm 2018.
-
140 chiếc Kawasaki Z300 ABS 2018 bị thu hồi tại Việt Nam do nguy cơ thủng bình xăng
-
Google AI có thể phát hiện ung thư vú nhanh và chính xác hơn các bác sĩ
-
Xiaomi phát triển mặt nạ thông minh hỗ trợ sức khỏe người dùng
Nam An