Pada Agustus 2018, IETF menyetujui standar TLS 1.3TLS 1.0 dan
TLS 1.1 akan segera tidak ada lagi.
Telemetri Firefox sudah menunjukkan bahwa protokol-protokol ini menyumbang sebagian kecil dari lalu lintas HTTPS: masing-masing 1,11% dan 0,09%. Sebagian besar situs sekarang menggunakan TLS 1.2. Dan pada 2019-2020, semua browser terkemuka bermaksud untuk sepenuhnya meninggalkan dukungan untuk TLS 1.0 dan TLS 1.1. Di sisi server, Anda disarankan untuk menonaktifkan protokol ini sekarang.
Mengapa menonaktifkan TLS 1.0 dan 1.1
TLS 1.0 akan berusia 20 tahun Januari mendatang. Dia memenuhi perannya: selama bertahun-tahun, protokol telah mengenkripsi miliaran, jika tidak triliunan koneksi. Seiring waktu, menjadi lebih baik untuk memahami bagaimana protokol enkripsi harus dirancang. Peningkatan persyaratan untuk keandalan sandi. Sayangnya, TLS 1.0 dan 1.1 tidak memenuhi persyaratan ini.
Ada beberapa aspek untuk TLS 1.0 dan 1.1 yang mengkhawatirkan,
tulis Mozilla Security Blog. Yang terburuk adalah bahwa mereka tidak mendukung bekerja dengan algoritma kriptografi modern. Misalnya, ketika berjabatan tangan, mereka tentu membutuhkan penggunaan algoritma hash SHA-1. Dalam versi TLS ini, tidak mungkin memasang algoritme hash yang lebih kuat untuk tanda tangan ServerKeyExchange atau CertificateVerify. Oleh karena itu, satu-satunya jalan keluar adalah meningkatkan versi ke TLS yang baru.
Pada tanggal 14 September 2018, Satuan Tugas Teknik Internet (IETF) menerbitkan
draft dokumen resmi di mana ia
tidak merekomendasikan penggunaan TLS 1.0 dan 1.1. Antara lain, disebutkan bahwa SHA-1 dengan kekuatan kriptografi 2 ^ 77 tidak dapat dianggap aman oleh standar modern: "2 ^ 77 operasi [untuk serangan] berada di bawah batas keamanan yang dapat diterima."
Fragmen dari IETF yang membuang TLS lamaDokumen ini memberikan informasi teknis yang lebih rinci tentang alasan keputusan ini. Ini berbicara tentang serangan BEAST (Browser Exploit Against SSL / TLS) pada TLS 1.0, yaitu, blok cipher, di mana blok enkripsi terakhir dari pesan sebelumnya (n-1) digunakan sebagai vektor inisialisasi untuk pesan n.
TLS 1.1 dihapus bersamaan dengan TLS 1.0 karena secara fundamental tidak berbeda dan pada dasarnya memiliki kelemahan yang sama. Dalam versi ini, hanya beberapa batasan TLS 1.0 yang diperbaiki, yang dapat dihindari
dengan cara lain (sekali lagi, kita berbicara tentang serangan BEAST).
Menurut rekomendasi NIST, layanan web diundang untuk menghapus dukungan untuk versi TLS yang lebih lama hingga Juli 2018. Ini dilakukan oleh Amazon, CloudFlare, GitHub, KeyCDN, PayPal dan banyak layanan web lainnya.
Tanggal Shutdown
Pengembang semua browser terkemuka setuju untuk mematuhi rekomendasi IETF.
Browser Chrome akan menjadi yang pertama menolak dukungan untuk versi TLS yang lebih lama. Pengembang berencana untuk memulai proses dengan versi Chrome 72, yang akan dirilis pada Januari 2019: mulai sekarang, untuk situs dengan protokol yang sudah ketinggalan zaman, peringatan akan ditampilkan di konsol DevTools. Shutdown lengkap akan dilakukan di versi Chrome 81, yang dijadwalkan untuk rilis pada Maret 2020 (versi awal dari Januari 2020).
Microsoft
berjanji untuk menonaktifkan protokol "di paruh pertama tahun 2020." Mozilla
mengumumkan akan menonaktifkan TLS 1.0 dan 1.1 di Firefox pada Maret 2020. Apple
berencana untuk menghapus dukungan dari browser Safari pada Maret 2020.
Siaran pers dari pengembang semua browser terkemuka keluar dengan sangat terkoordinasi:
TLS 1.2 modern profil
Menurut rekomendasi IETF, basis kriptografi minimum untuk koneksi HTTPS harus TLS 1.2. Menurut telemetri Firefox, sekarang menyumbang 93,12% dari lalu lintas HTTPS (
94% menurut Qualys ), jadi rekomendasi de facto sedang dilaksanakan hari ini.
Menggunakan versi TLS untuk semua koneksi HTTPS di Firefox Beta 62, data telemetri untuk Agustus-September 2018TLS 1.2 adalah prasyarat untuk HTTP / 2, yang
meningkatkan kinerja situs . Mozilla merekomendasikan penggunaan
profil TLS 1.2
modern di sisi server jika tidak ada kebutuhan khusus. Profil modern memberikan tingkat keamanan yang tinggi dan mencakup parameter berikut:
- Suite sandi : ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-ECDSA-CHACHA20-POLY1305: ECDHE-RSA-CHACHA20-POLY1305: ECDHEC-E8-E8E-E8E-E8E-E8E-E8E-E8 EE-SHE-E8 EE -RSA-AES128-GCM-SHA256: ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384: ECDHE-ECDSA-AES128-SHA256: ECDHE-RSA-AES128-SHA256
- Kurva Elips untuk TLS: prime256v1, secp384r1, secp521r1
- Jenis Sertifikat: ECDSA
- Kurva elips sertifikat: prime256v1, secp384r1, secp521r1
- Sertifikat Tanda Tangan: sha256Dengan enkripsi RSA, ecdsa-with-SHA256, ecdsa-with-SHA384, ecdsa-with-SHA512
- Ukuran kunci RSA: 2048 (jika tidak ada ECDSA)
- Ukuran Parameter DH: Tidak Ada (sepenuhnya dinonaktifkan)
- ECDH Ukuran Parameter: 256
- HSTS: maks-usia = 15768000
- Pengalihan Sertifikat: Tidak
Para ahli mencatat bahwa beberapa otoritas sertifikasi sekarang mendukung tanda tangan ECDSA, sehingga tanda tangan RSA untuk sertifikat ECDSA diizinkan dalam rekomendasi.
Protokol pertukaran kunci DHE sepenuhnya dihapus dari cipher suite karena lebih lambat dari ECDHE, dan semua klien modern mendukung kurva elips.
Algoritma tanda tangan SHA1 juga sepenuhnya dihapus dari set: SHA384 untuk AES256 dan SHA256 untuk AES128 digunakan sebagai gantinya.
Konfigurasi ini didukung dari versi Firefox 27, Chrome 30, IE 11 pada Windows 7, Edge, Opera 17, Safari 9, Android 5.0 dan Java 8. Jika Anda memerlukan dukungan untuk browser lama, maka persyaratan untuk cipher suite harus dikurangi hingga level
"rata-rata" , sudah diatur sebagai level default. Hanya dalam kasus yang paling ekstrem disarankan untuk membungkuk ke
suite sandi yang kompatibel dengan dukungan untuk Windows XP / IE6.
Sayangnya, hari ini tidak semua vendor mematuhi rekomendasi untuk konfigurasi TLS 1.2 yang aman.
Pada 24 September 2018, arXiv.org menerbitkan sebuah
studi akademik tentang masalah ini , yang dilakukan oleh para peneliti dari Concordia University di Montreal (Kanada). Para penulis menganalisis perilaku 17 versi 13 jaringan TLS-alat kelas yang berbeda (gratis, open source, level rendah dan tinggi).
Kesimpulannya mengecewakan: hampir semua produk yang dipertimbangkan rentan:
Misalnya, ternyata WebTitan, UserGate, dan Comodo tidak melakukan validasi TLS. Comodo dan Endian, secara default, menganggap semua sertifikat harus diverifikasi, dan Cacheguard menerima sertifikat TLS yang ditandatangani sendiri.
Trend Micro, McAfee, dan Cacheguard menggunakan pasangan kunci yang dibuat sebelumnya (meskipun dokumentasi McAfee mengatakan sebaliknya). Empat perangkat - dari UserGate, WebTitan, Microsoft, dan Comodo - menerima sertifikat mereka sendiri untuk konten yang dikirimkan secara eksternal. Kunci pribadi disimpan di perangkat dan dapat dengan mudah diekstraksi menggunakan kerentanan lain.
Serangan BEAST memungkinkan cookie otentikasi untuk pengguna TLS dari Microsoft, Cisco dan TrendMicro, sementara klien Sophos, Cacheguard, OpenSense, Comodo, dan Endian menerima sertifikat RSA-512, yang mana kunci privat dapat dengan mudah dipalsukan selama empat jam.
Masa depan untuk TLS 1.3
Pada Agustus 2018, IETF menyetujui standar
TLS 1.3 , yang
dijelaskan secara rinci tentang Habré . Inovasi kunci dalam versi baru:
- protokol jabat tangan baru: prosesnya dua kali lebih cepat karena kombinasi beberapa langkah, mekanisme jabat tangan menjadi lebih aman, karena pengembang telah menghapus semua algoritma yang tidak menggunakan mode AEAD-mode enkripsi blok;
- proses pembuatan kunci baru menggunakan Extract-and-Expand Key Derivation Function (HKDF) HMAC;
- Menghapus suite sandi menggunakan RSA atau pertukaran kunci DH, mode CBC dan SHA-1.
Sekarang versi 1.3 dalam versi awal mendukung Chrome dan Firefox. Menurut telemetri, browser Firefox sekarang membuat lebih banyak koneksi pada TLS 1.3 daripada pada TLS 1.0 dan 1.1.
Jelas bahwa memperbarui salah satu protokol terpenting akan memengaruhi banyak situs dan membutuhkan waktu lama, tetapi sebagai hasilnya, Internet akan menjadi lebih aman.
