Todos os principais navegadores da Microsoft, Google, Apple e, Mozilla em um anúncio coordenado, declararam que vão retirar os protocolos de comunicação segura TLS 1.0 e 1.1 a partir de 2020, impedindo assim que sites HTTPs possam ser acessados
Por Adriano Frare
Adriano Valério L. Frare – Pki consultant / BlockChain / Security / Pen Test
O TLS (Transport Layer Security) é um protocolo que pode ser usado para criptografar a comunicação entre seu navegador e um site que está sendo visitado. Este protocolo fornece um canal criptografado que permite que os dados enviados e recebidos de sites seguros sejam criptografados e inacessíveis a terceiros que tentam ouvir suas comunicações.
Embora esse tipo de canal de comunicação seja importante para todas as questões de privacidade, é especialmente importante ao enviar informações particulares, como nomes de usuário, senha, informações de identificação pessoal e informações financeiras.
Nos últimos 20 anos, os navegadores da Web suportaram a especificação TLS 1.0 original e, em seguida, seu sucessor TLS 1.1, mas os navegadores não estão mais usando-os. Em vez disso, os navegadores estão usando as especificações TLS 1.2 e 1.3 mais seguras e otimizadas.
Essas especificações mais recentes não apenas incluem segurança aprimorada, mas também suportam novos protocolos, como o protocolo de rede HTTP / 2, que podem aumentar a velocidade de navegação nos sites.
Com mais de 94% dos sites pesquisados pelo Qualys SSL Labs já suportando o TLS 1.2, foi decidido retirar um protocolo com 20 anos de idade em favor dos mais novos, com melhor suporte e que possam fornecer um caminho mais seguro para o futuro.
Além disso, as estatísticas do Chrome, Safari, Edge e Firefox mostram que a maioria dos usuários nem usa mais estes protocolos:
•Google está relatando que apenas 0,5% das conexões HTTPS feitas pelo Chrome estão usando TLS 1.0 ou 1.1
•Apple está relatando que em suas plataformas menos de 0,36% das conexões HTTPS feitas pelo Safari estão usando TLS 1.0 ou TLS 1.1.
•Microsoft está relatando que apenas 0,72% das conexões seguras feitas pelo Edge usam TLS 1.0 ou 1.1.
•Firefox tem a maior quantidade de conexões, usando TLS 1.0 ou 1.1 a 1,2%, mas ainda é uma quantidade muito pequena.
Quando se trata de retirar esses protocolos, cada empresa tem seu próprio plano.
•Google planeja descontinuar o TLS 1.0 e 1.1 no Chrome 72, onde os desenvolvedores verão avisos de descontinuação nas Ferramentas do desenvolvedor. Esses protocolos serão desativados completamente a partir do Chrome 81.
•Mozilla desativará o suporte no Firefox para TLS 1.0 e 1.1 em março de 2020. Usuários de versões Beta, Developer e Nightly do Firefox verão essas alterações mais cedo.
•Microsoft informou que desabilitará o suporte para TLS 1.0 e 1.1 no Edge e no Internet Explorer 11 na primeira metade de 2020.
•Apple declarou que removerá o suporte para esses protocolos no iOS e no macOS a partir de março de 2020.
Todos as empresas com site na Internet, bem como administradores devem verificar seus sistemas operacionais e webservers (apache, IIS, NGINX etc…) são compatíveis com a versão TLS 1.2 ou superior.
Muito importante, é realizar as configurações adequadas principalmente do webserver para garantir a segurança entre o site e quem está acessando.
Certificado digital e a importância da lista de revogação. Por Adriano Frare
Os desafios de segurança no IoT. Por Adriano Frare
18 anos após, em um ano ITI encaminha solução dos navegadores com selo Webtrust SSL
10 ferramentas online para testar SSL, TLS e vulnerabilidades
