Hàng loạt trình duyệt sẽ vô hiệu hóa chuẩn bảo mật TLS 1.0 và 1.1

Thành Luân
Thành Luân
16/10/2018 16:56 GMT+7

Tất cả trình duyệt web nổi tiếng vừa công bố sẽ sớm loại bỏ việc hỗ trợ cho các giao thức mã hóa TLS 1.0 (20 tuổi) và TLS 1.1 (12 tuổi), mà cụ thể là vào năm 2020.

Theo Thehackernews, bảo mật tầng truyền tải (Transport Layer Security - TLS) là giao thức mã hóa nhằm mục đích bảo mật sự vận chuyển trên internet, thiết lập các kênh truyền thông an toàn và mã hóa giữa máy khách và máy chủ.
Hiện tại có 4 phiên bản của giao thức TLS - TLS 1.0, 1.1, 1.2 và 1.3 là mới nhất, trong đó các phiên bản cũ TLS 1.0 và 1.1 được biết đến là dễ bị tấn công bởi một số cuộc tấn công quan trọng như POODLE và BEAST. Vì việc thực thi TLS trong tất cả các trình duyệt web và ứng dụng chính hỗ trợ hạ cấp TLS nên nó sẽ mở ra cơ hội cho kẻ tấn công khai thác các giao thức yếu hơn ngay cả khi máy chủ hỗ trợ phiên bản mới nhất. Chính vì vậy, báo cáo từ 4 công ty lớn gồm Google, Microsoft, Apple và Mozilla cho biết trình duyệt web của họ sẽ ngừng hỗ trợ TLS 1.0 và 1.1 theo mặc định kể từ nửa đầu năm 2020.
TLS 1.2, được phát hành cách đây 10 năm để giải quyết điểm yếu trong TLS 1.0 và 1.1, đã được hỗ trợ rộng rãi kể từ khi ra mắt, do đó nó sẽ là lựa chọn TLS mặc định. Trong khi đó TLS 1.3 hiện trong quá trình phát triển và chưa hoàn thiện.
Microsoft giải thích, nhiều trang web hiện đã chuyển sang giao thức TLS mới hơn, với 94% trang web đã hỗ trợ TLS 1.2, trong khi chỉ dưới 1% kết nối hằng ngày trong Microsoft Edge sử dụng TLS 1.0 hoặc 1.1. Còn với Apple, công ty nói rằng TLS 1.2 là tiêu chuẩn trên các nền tảng của hãng, chiếm 99,6% kết nối TLS được tạo ra từ Safari, trong khi TLS 1.0 và 1.1 chiếm ít hơn 0,36% tất cả các kết nối. Với Google, công ty nói rằng chỉ 0,5% kết nối HTTPS được Chrome tạo ra sử dụng TLS 1.0 hoặc 1.1.
Bạn có thể vô hiệu hóa giao thức TLS 1.0 và 1.1 trong thiết lập của Chrome Ảnh chụp màn hình
Tất cả các công ty công nghệ đề xuất các trang web hỗ trợ TLS 1.2 hoặc mới hơn để chuyển các phiên bản cũ của TLS bị loại bỏ càng sớm càng tốt. Hơn nữa, việc tuân thủ chuẩn PCI Data Security (PCI DSS) cũng yêu cầu các trang web vô hiệu hóa việc triển khai SSL/TLS 1.0 trước ngày 30.6.2018.
Bên cạnh những gã khổng lồ công nghệ nói trên, Gitlab cũng tuyên bố sẽ không hỗ trợ TLS 1.0 và 1.1 trên trang web của mình và cơ sở hạ tầng API vào cuối năm 2018.
Bạn cũng có thể tắt các phiên bản TLS cũ trên Google Chrome theo cách thủ công bằng cách mở Settings > Advanced Settings > Open Proxy Settings > nhấp vào thẻ Advanced > dưới phần Security hãy bỏ chọn trước TLS 1.0 và 1.1 trước khi nhấn Save.
Top

Bạn không thể gửi bình luận liên tục. Xin hãy đợi
60 giây nữa.