Разделы

ПО Софт Безопасность Интернет Интернет-ПО Техника

Microsoft «убивает» в своих браузерах протоколы безопасности с 20-летней историей

Microsoft готова реализовать свой давний план по отказу от старых протоколов безопасности TLS 1.0 и 1.1 в своих браузерах. Она хотела сделать это весной 2020 г., но отказалась от затеи из-за пандемии коронавируса. Спустя два с половиной года корпорация вернулась к этой идее – поддержка TLS 1.0 и 1.1 будет отключена в сентябре 2022 г. У обоих протоколов есть более современные и надежные модификации.

День «икс» назначен

Корпорация Microsoft заявила о скором отключении протоколов безопасности TLS 1.0 и 1.1, пишет SoftPedia. Сделать это она хотела еще в 2020 г., но помешала пандемия коронавируса COVID-19.

Причин отказа от TLS 1.0 и 1.1 несколько. Первая – они безнадежно устарели, и у них давно есть более современный заменитель, к тому же, не один. Вторая причина связана с первой – за счет своего возраста оба протокола больше не способны обеспечивать необходимый уровень безопасности, следовательно, от них пора избавиться.

TLS или Transport Layer Security – это транспортный протокол безопасности. Он создавался с целью защищенной передачи данных в интернете путем их шифрования с использованием различных алгоритмов.

Отключить поддержку TLS 1.0 и 1.1 Microsoft собирается 13 сентября 2022 г. Ее лишится в первую очередь браузер EdgeHTML, который Microsoft выпустила в 2015 г. в комплекте с Windows 10. В настоящее время он не поддерживается – его заменил новый браузер на движке Chromium. Аналогичная участь постигнет даже Internet Explorer – один из самых известных браузеров в мире. В 2019 г. Microsoft признала, что он испещрен уязвимостями, а летом 2022 г. полностью прекратила его поддержку. EdgeHTML не поддерживается с марта 2021 г.

Internet Explorer имеет много общего с TLS 1.0 и 1.1. Он тоже старый и небезопасный

В современном Edge протоколы TLS 1.0 и 1.1 отключены, начиная с версии 84. Она вышла в июле 2022 г.

Что не так с протоколами

Как протокол безопасности TLS сам по себе очень популярен и востребован – он используется во многих современных веб-сервисах, включая мессенджеры и электронную почту, но только не в версиях 1.0 и 1.1.

Релиз TLS 1.0 состоялся более 20 лет назад, в 1999 г. Это своего рода эволюция протокола SSL (Secure Sockets Layer), версия 3.0 которого увидела свет в 1996 г. Именно на ее основе и построен TLS 1.0.

SSL 3.0 был признан устаревшим еще в 2015 г. Что касается TLS 1.1, то эта версия появилась в 2006 г. В августе 2008 г. ей на смену пришла версия 1.2, а протокол TLS 1.3 дебютировал спустя еще 10 лет. На сегодняшний день версии 1.2 и 1.3 считаются актуальными и используются подавляющим большинством современных веб-сайтов.

Чего ждала Microsoft

Софтверная корпорация заявила о своей готовности отказаться от поддержки TLS 1.0 и 1.1 в Edge и Internet Explorer еще в октябре 2018 г., спустя два месяца с момента релиза TLS 1.3. Окончание поддержки обоих протоколов было назначено на первую половину 2020 г.

Threat Intelligence: что это такое и как применить на практике
Безопасность

Планы Microsoft спутал коронавирус, к середине весны 2020 г. отправивший половину мира, включая Россию, на самоизоляцию. Как сообщал CNews, в начале апреля 2020 г. Microsoft пришлось продлить поддержку TLS 1.0 и 1.1 на неопределенный срок.

Что мешало Microsoft отключить эту поддержку раньше, с учетом того, что большая часть стран мира сняли ковидные ограничения еще в 2021 г., остается неизвестным. Другие компании оказались намного менее медлительными.

Например, отказаться от поддержки TLS 1.0 и 1.1 весной 2020 г. в своих браузерах планировала компания Apple, и пандемия не стала для нее помехой. Штатный браузер в настольной macOS получил необходимое обновление в конце марта 2020 г., а через пару дней апдейт, отключающий поддержку обоих протоколов стал доступен и для iOS.

За пару недель до этого аналогичный шаг сделало и сообщество Mozillaразработчик браузера Firefox. В версии обозревателя с индексом 74 протоколы TLS 1.0 и 1.1 перестали работать, но к концу марта 2020 г. вновь начали функционировать. Разработчики аргументировали это тем, что не все правительственные сайты с информацией о коронавирусе, доступ к которым может потребоваться пользователям во время пандемии, поддерживают современные протоколы TLS 1.2 и 1.3.

Возможность ускорить процесс

Сообщив о скором прекращении поддержки TLS 1.0 и 1.1 в своих браузерах, Microsoft намекнула, что пользователи могут не ждать этого и отказаться от нее прямо сейчас. Пользователи, желающие отключить TLS 1.0 и TLS 1.1 как можно скорее, могут сделать это в меню настройки групповых политик. Это касается как обычных пользователей, так и системных администраторов. Также это можно сделать в меню настроек браузеров.

Искусственный интеллект помог сохранить редкий язык
Инновации для промышленности

Обратный процесс тоже возможен. После 13 сентября 2022 г. те пользователи, кому еще требуются TLS 1.0 и 1.1, могут включить их поддержку, используя штатные средства Windows или настройки обозревателей. Это позволит беспрепятственно подключаться к сайтам, использующим их, но таковых в современном интернете почти не осталось.

Эльяс Касми