国旭科技（www.xdns.cn）域名资讯1月18日消息

本周，苹果、微软和谷歌宣布了其摒弃对TLS 1.1和TLS 1.0的支持意图。这意味着TLS 1.2将成为默认的设置，各大浏览器也会鼓励网站和公司尽快支持TLS 1.3。

苹果、微软、谷歌和Mozilla联合发表了这份声明。意味着所有主流的浏览器——苹果的Safari、谷歌的Chrome、Mozilla的Firefox和微软的Edge和Internet Explorer——都将在2020年初放弃对TLS 1.1和TLS 1.0的支持。

1月19日是TLS 1.0诞生20周年的纪念日。IETF在今年8月正式发布了TLS 1.3。值得借鉴的是，今年早些时候，支付卡产业数据安全标准（PCI DSS）强制取消了支付卡行业对TLS 1.0的支持，同时强烈建议取消对TLS 1.1的支持。所以这不是空穴来风，它已经存在很长一段时间了。

TLS 1.0和TLS 1.1被认为不安全的原因是，它们使用的是过时的算法和加密系统，这些算法和系统是十分脆弱的，极易受到降级攻击的影响，例如SHA-1和MD5。

苹果、谷歌和微软都表示，这一决定产生的影响可能是微乎其微的，因为Safari、Chrome、Edge和Internet Explorer浏览器的连接只有很少一部分仍然在使用TLS 1.0或TLS 1.1。

苹果表示：“现在是时候进行这种转变了。TLS 1.2遵从了应用程序安全传输协议（ATS）的要求进行了恰当的配置，从而提供了适于现代web的安全性。它是苹果平台的标准，在所有Safari的TLS连接中，占据着99.6%的比例。TLS 1.0和TLS1.1——可以追溯到1999年——在所有连接中所占的比例不到0.36%。随着IETF在2018年8月对TLS 1.3的最终确定，传统TLS连接的比例可能会进一步下降。TLS 1.2对HTTP/2也是必要的，因为它能够显著改善web的性能。”

微软认为：20年不修改安全技术，这是很长一段时间了。虽然我们没有意识到我们最新所部署的TLS 1.0和TLS 1.1存在重大漏洞，但是一些脆弱的第三方实现确实存在。迁移到最新的版本有助于确保每个人都有一个更安全的Web。此外，我们希望IETF在今年晚些时候能够正式弃用TLS 1.0和1.1，届时，它们就将不再处理这些版本中的协议漏洞。

谷歌强调：“按照这些行业标准，谷歌Chrome将在Chrome 72中弃用TLS 1.0和TLS 1.1。那些使用了这些版本的网站将开始在该发布的DevTools控制台中看到弃用警告。TLS 1.0和1.1将在Chrome 81中被完全禁用。这将从2020年1月开始在早期的发布渠道对用户产生影响。”

此决定对于企业和组织的影响：

对于绝大多数的企业和组织来说，这不会成为一个问题。TLS 1.2成为标准已经有一段时间了（10年），所以增加对新版本的支持不会是一个问题，就像关闭对旧版本的支持一样。

TLS部署应注意以下几点：

◎支持TLS 1.2（最好是TLS 1.3）

◎使用EDCHE和基于AEAD的加密（Google建议：“基于AEAD的密码套件是那些使用了AES-GCM或ChaCha20-Poly1305的密码套件。对于大多数网站来说，ECDHE_RSA_WITH_AES_128_GCM_SHA256是推荐的选项。”）

◎使用SHA-2散列算法

坦白地说，你应该尽一切努力转向使用TLS 1.3。TLS 1.3在设计时花费了很长的时间。它摒弃了一些十分脆弱的算法和密码，这些算法和密码可能很快就会把握手的流程转变成一次往返流程。

请尽早选择TLS 1.3，各大浏览器已经表明态度，TLS 1.0和TLS 1.1终将成为过去式。