Transport Layer Security

Har startet på utfasingen av TLS 1.0 og 1.1 i Chrome

20 år gammel sikkerhetsteknologi står for fall.

Sikkerheten til HTTPS avhenger blant annet av at det benyttes en moderne versjon av TLS-protokollen. Snart skal støtten for de to eldste fjernes helt.
Sikkerheten til HTTPS avhenger blant annet av at det benyttes en moderne versjon av TLS-protokollen. Snart skal støtten for de to eldste fjernes helt. (Bilde: Colourbox)

20 år gammel sikkerhetsteknologi står for fall.

Nå i januar er det 20 år siden den første versjonen av krypteringsteknologien Transport Layer Security (TLS) ble definert. TLS er etterfølgeren til den enda eldre SSL-teknologien (Secure Sockets Layer), og brukes blant annet til å kryptere forbindelsen mellom nettleser og webserver for nettsteder som benytter HTTPS (Hypertext Transfer Protocol Secure). 

20 år

For 20 år siden var weben svært annerledes enn den er i dag. Derfor ble TLS 1.0 utviklet for å dekke datidens behov, ikke dagens. Siden 1999 har det derfor kommet tre nye versjoner av TLS, som alle har kommet med sikkerhetsforbedringer. 

Likevel støttes TLS 1.0 fortsatt av de fleste nettlesere og en god del nettsteder.

I fjor høst kunngjorde alle de største nettleserleverandørene at støtten for både TLS 1.0 og 1.1 skal fases ut i nettleserne. Det ble oppgitt at dette skal skje i 2020. 

Les også: Svært utbredt kryptobibliotek har fått støtte for TLS 1.3

Chrome 72

Nå har Google kommet med en mer konkret tidsplan for denne utfasingen i Chrome, som jo er den mest brukte nettleseren. Selskapet gjør det nå klart at TLS 1.0 og 1.1 ikke lenger vil fungere i Chrome 81, som skal gis ut i begynnelsen av 2020.  

Det første skrittet på utfasingen skjer derimot allerede med Chrome-versjonen som ble utgitt i går, 72. I denne vil det bli vist en advarsel i DevTools dersom nettleseren brukes til å besøke nettsteder som bruker disse protokollene. 

Bruk bare TLS 1.2 og 1.3

Innen da må alle nettsteder som benytter HTTPS, sørge for at de i alle fall støtter TLS 1.2, og helst også TLS 1.3, selv om det så langt bare er Firefox og Chrome, samt andre Chromium-baserte nettlesere, som støtter TLS 1.3.

Støtten for TLS 1.0 og 1.1 bør deaktiveres, og dersom noen nettsteder fortsatt støtter SSL, så bør de definitivt deaktiveres umiddelbart, siden SSL ikke kan regnes som sikker teknologi.

Både Apple/WebKit og Mozilla har tidligere kunngjort at de vil skru av støtten for TLS 1.0 og 1.1 i mars 2020. Microsoft har sagt at dette vil bli gjort i både Edge og Internet Explorer 11 i andre halvdel av 2020.

Chrome 72 inkluderer en rekke andre nyheter også. De fleste er nok mest interessante for utviklere. Noen av dem er nærmere omtalt i dette blogginnlegget.

Les også: Microsoft ber kundene skru av TLS 1.0/1.1

Kommentarer (1)

Kommentarer (1)
Til toppen