سایت‌های HTTPS از نوع LTS 1 و 1.1 بلاک خواهند شد

18 مارس 2020 وحید خاکپور ۰ دیدگاه https, LTS 1.0, LTS 1.1, پروتکل LTS, حذف LTS 1.0

بیش از ۸۵۰،۰۰۰ وب سایت هنوز از پروتکل های قدیمی و منسوخ شده TLS 1.0 و ۱.۱ استفاده می کنند. قرار است این پروتکل ها اواخر این ماه از اکثر مرورگرهای مهم حذف شود.

براساس گزارشی که امروز توسط شرکت فن آوری انگلستان Netcraft منتشر شده است ، این وب سایت ها برای بانک های بزرگ ، دولت ها ، سازمان های خبری ، ارتباطات از راه دور ، فروشگاه های تجارت الکترونیکی و اجتماعات اینترنتی است.

تمام ۸۵۰،۰۰۰ وب سایت از HTTPS استفاده می کنند اما در نسخه ای ضعیف هستند. وب سایت ها اتصالات HTTPS را از طریق گواهی های رمزنگاری ساخته شده بر روی پروتکل های TLS 1.0 و TLS 1.1 پشتیبانی می کنند.

این پروتکل های قدیمی هستند که به ترتیب در سال های ۱۹۹۶ و ۲۰۰۶ منتشر شده اند. این پروتکل ها از الگوریتم های رمزنگاری ضعیف استفاده می کنند و در برابر یک سری از حملات رمزنگاری که طی دو دهه گذشته افشا شده اند ، مانند BEAST ، LUCKY 13 ، SWEET 32 ، CRIME و POODLE آسیب پذیر هستند. این حملات به مهاجمان اجازه می دهد HTTPS را رمزگشایی کرده و به ترافیک وب شخصی کاربر دسترسی پیدا کنند.

نسخه های جدید این پروتکل ها در سال ۲۰۰۸ منتشر شد (TLS ۱.۲) و ۲۰۱۷ (TLS 1.3) ، که هر دو از TLS 1.0 و TLS 1.1 استفاده بهتر و مطمئن تر در نظر گرفته شده اند.

حذف TLS 1.0 و TLS 1.1 از دو سال پیش اعلام شد

پس از انتشار TLS 1.3 در بهار سال ۲۰۱۸ ، چهار سازنده مرورگر - اپل ، گوگل ، موزیلا و مایکروسافت - با هم جمع شدند و به طور مشترک در اکتبر ۲۰۱۸ اعلام کردند قصد دارند پشتیبانی از TLS 1.0 و TLS 1.1 را در اوایل سال ۲۰۲۰ حذف کنند.

اولین مراحل انجام این کار سال گذشته آغاز شد که مرورگرها شروع به برچسب زدن به سایت هایی کردند که از TLS 1.0 و TLS 1.1 با نشانگر "Secure" در نوار آدرس URL و نماد قفل استفاده می کردند و به کاربران اشاره می کرد که اتصال HTTPS آنچنان ایمن نیست.

در اواخر این ماه ، مرورگرها از دسترسی به سایت هایی که از TLS 1.0 یا TLS 1.1 استفاده می کنند ، به صورت جدی تر جلوگیری می کنند و با یک صفحه کامل این موضوع را نشان می دهند.

این هشدار های تمام صفحه با انتشار کروم ۸۱ و فایرفاکس ۷۴برنامه ریزی شده اند. قرار است Safari نیز در این ماه ، TLS 1.0 و ۱.۱ را رها کند. مایکروسافت در پایان ماه آوریل و با انتشار (Chromium-based) Edge 82 ، این درخواست را دنبال می کند.

طبق اسکن های Netcraft ، تعداد سایت هایی که تحت تأثیر قرار می گیرند ، حدود ۸۵۰،۰۰۰ است که از این تعداد ، بیش از ۵،۰۰۰ در سایت های برتر ۱ میلیون برتر الکسا قرار دارند.

از بین بردن پشتیبانی مشتری از این پروتکل های قدیمی ، موثرترین روش برای اطمینان از این است که آسیب پذیری های مربوط به آنها دیگر نمی توانند خطری را ایجاد کنند.