Tất cả trình duyệt sẽ cấm website chạy TLS 1.0 và 1.1

by · Tháng Ba 6, 2020

Như thông báo, cho đến tháng này, hầu hết các trình duyệt phổ biến sẽ ngăn cản người dùng truy cập đến những trang web vẫn đang chạy giao thức cũ và kém bảo mật này.

Theo thống kê hiện tại, có gần 900 ngàn website vẫn đang chạy trên nền giao thức bảo mật TLS 1.0 và 1.1. Trong số đó có rất nhiều website ngân hàng, chính phủ, tổ chức tin tức, viễn thông, cửa hàng thương mại điện tử và các diễn đàn – theo một báo cáo được công bố bởi công ty công nghệ Netcraft của Anh hôm nay.

TLS 1.0 và TLS 1.1 đã bị từ chối rộng rãi do các lỗ hổng đã được phát hiện. Cách đây hai năm, PCI DSS đã ra yêu cầu rằng bất kỳ trang web nào chấp nhận thanh toán thẻ trực tuyến cần loại bỏ TLS 1.0 và TLS 1.1.

Thật không may, mặc dù TLS 1.2 đã ra mắt được khoảng mười năm và hiện tại chúng ta đã chuyển sang TLS 1.3, nhưng còn rất nhiều trang web vẫn chỉ hỗ trợ các phiên bản giao thức mã hoá lỗi thời.

Đây là một quá trình được chuẩn bị kỹ lưỡng và chu đáo

Sau khi phát hành TLS 1.3 vào mùa xuân năm 2018, bốn ông lớn như – Apple, Google, Mozilla và Microsoft – đã cùng nhau công bố vào tháng 10 năm 2018 về kế hoạch loại bỏ sự hỗ trợ cho TLS 1.0 và TLS 1.1 vào đầu năm 2020.

Giai đoạn đầu tiên của bước này đã bắt đầu vào năm ngoái khi các trình duyệt bắt đầu gắn nhãn các trang web đang sử dụng TLS 1.0 và TLS 1.1 bằng cảnh báo “Không bảo mật” trong thanh địa chỉ URL và biểu tượng khóa, nhắc nhở cho người dùng rằng dù kết nối HTTPS trang đó có nhưng không an toàn.

Cuối tháng này, các trình duyệt sẽ chuyển từ hiển thị cảnh báo ẩn sang hiển thị lỗi toàn trang khi người dùng truy cập các trang web sử dụng TLS 1.0 hoặc TLS 1.1.

Cảnh báo TLS cũ trên Chrome
Cảnh báo TLS cũ trên Firefox

Các cảnh báo lỗi toàn trang này được lên lịch để phát hành trên Chrome 81 và với Firefox 74, cả hai đều được lên kế hoạch vào cuối tháng này. Safari cũng đã được lên kế hoạch giảm TLS 1.0 và 1.1 trong tháng này, theo thông báo ban đầu của họ.

Microsoft sẽ làm theo vào cuối tháng Tư này, với việc phát hành Edge 82 (dựa trên Chromium).

Việc cần làm với các nhà quản trị website là phải loại bỏ giao thức này ngây cũng như triển khai sử dụng TLS 2.0 cho tất cả trang web của mình.

Bài viết liên quan

EV Code Signing Certificates: giúp phần mềm của bạn được tin dùng tuyệt đối
Digicert thay đổi chủ sở hữu
Camera & microphone bắt buộc dùng https với Firefox 68.

Tags:

You may also like...