2020’de Chrome, Firefox, Edge ve Safari’nin TLS 1.0 ve 1.1’i Devre Dışı Bırakma Planı

Google Chrome, Apple Safari, Microsoft Edge, Internet Explorer ve Mozilla Firefox dahil olmak üzere tüm önemli web tarayıcıları, kısa bir süre önce TLS 1.0 (20 yaşında) ve TLS 1.1 (12 yaşında) iletişimi destekleyeceklerini açıkladı.

Başlangıçta Güvenli Yuva Katmanı (SSL) protokolü olarak geliştirilen Aktarım Katmanı Güvenliği (TLS), istemciler ve sunucular arasında güvenli ve şifreli bir iletişim kanalı oluşturmak için kullanılan güncel bir şifreleme protokolüdür. TLS protokolünün dört versiyonu bulunmaktadır.

– TLS 1.0, 1.1, 1.2 ve 1.3 ( en son )
– Ancak daha eski sürümler olan TLS 1.0 ve 1.1, POODLE ve BEAST gibi bir dizi kritik saldırıya karşı savunmasızdır.

Tüm büyük web tarayıcılarındaki ve uygulamalarındaki TLS uygulaması, sürüm düşürme müzakere sürecini desteklediğinden, bir sunucu en son sürümü desteklese bile saldırganların daha zayıf protokollerden yararlanmalarına olanak tanır.

Tüm Büyük Web Tarayıcıları 2020’de TLS 1.0 ve TLS 1.1 Desteğini Çıkarır
Dört büyük şirket, Google , Microsoft , Apple ve Mozilla tarafından yayınlanan basın bültenlerine göre , web tarayıcıları, 2020’nin ilk yarısında varsayılan olarak TLS 1.0 ve 1.1support’u düşürecekler.

TLS 1.2, on yıl önce piyasaya sürüldü. TLS 1.0 ve 1.1’deki zayıflıklar, o zamandan bu yana geniş çapta benimsenmiştir ve bu nedenle şu anda geliştirme aşamasında olan TLS 1.3’ün mevcudiyeti olmadıkça, varsayılan TLS versiyonu olacaktır.

Microsoft’a göre TLS 1.0 yaşlandıkça, birçok web sitesi protokolün daha yeni sürümlerine taşındı. Bugün, sitelerin yüzde 94’ü zaten TLS 1.2’yi desteklerken, Microsoft Edge’deki günlük bağlantıların yalnızca yüzde birinden azı TLS 1.0 veya 1.1 kullanıyor.

Microsoft, “Bir güvenlik teknolojisinin değiştirilmeden bekleyebilmesi uzun bir zaman oldu. TLS 1.0 ve TLS1’in güncel uygulamalarımızla ilgili önemli açıkları bilmediğimiz halde, güvenlik açığından etkilenen üçüncü taraf uygulamaları var.”

“Daha yeni sürümlere geçmek, herkes için daha güvenli bir web sağlamaya yardımcı olur. Ayrıca, IETF’in bu yıl TLS 1.0 ve 1.1’i resmi olarak kullanımdan kaldırılmasını bekliyoruz. Bu noktada, bu sürümlerdeki protokol güvenlik açıkları artık IETF tarafından ele alınmayacaktır.”

Apple ayrıca TLS 1.2’nin platformlarında standart olduğunu ve Safari’den yapılan TLS bağlantılarının yüzde 99,6’sını, TLS 1.0 ve 1.1’in ise tüm bağlantıların yüzde 0,36’sını oluşturduğunu söylüyor.

Google daha fazla hemfikir değildi ve bugün Chrome tarafından yapılan HTTPS bağlantılarının yalnızca yüzde 0,5’inin TLS 1.0 veya 1,1’i kullandığını söylüyor.

Tüm teknoloji şirketleri, en kısa sürede protokolün eski sürümlerinden çıkmak için TLS 1.2 veya daha yeni bir sürümü desteklemeyen web sitelerini önermiş ve pratiktir. Ayrıca, PCI Veri Güvenliği Standardı (PCI DSS) uyumu da 30 Haziran 2018 ile SSL / TLS 1.0 uygulamasını devre dışı bırakmak için web sitelerinin bugün bu teknoloji devleri yanında Gitlab da açıkladı.

chrome-settings

Ayrıca; Ayarlar → Gelişmiş Ayarlar → Proxy Ayarlarını Aç → Tıkla ‘Gelişmiş’ Sekmesi → ‘Güvenlik’ bölümü altında TLS 1.0 ve 1.1’in onay işaretini kaldırın ve ardından Kaydet’i tıklayarak Google Chrome’daki eski TLS sürümlerini manuel olarak devre dışı bırakabilirsiniz.