Giao thức TLS 1.0 và TLS 1.1 sẽ không còn hoạt động trong tương lai

ngừng sử dụng tls 1.0/1.1

Việc ngừng sử dụng TLS 1.0 và 1.1 đã được công bố bởi Digicert – Nhà cung cấp chứng SSL hàng đầu trên thế giới. Bên cạnh đó người dùng GitHub cũng không thể sử dụng trong thư viện của họ nữa.

ngừng sử dụng tls 1.0/1.1

Mặc dù GitHub đã công bố quyết định không chấp TLS 1.0 và 1.1 từ February 1 st , nhiều người dùng vẫn không nhận được thông báo trong thời gian. Kế hoạch ban đầu GitHub là sẽ vô hiệu hóa các thuật toán không dùng nữa vào ngày 08 Tháng 2

Bằng cách vô hiệu hóa hỗ trợ cho các thuật toán không được chấp nhận cho một cửa sổ nhỏ, các hệ thống này tạm thời sẽ không kết nối được với GitHub. Sau đó chúng tôi sẽ khôi phục hỗ trợ cho các thuật toán không được chấp nhận và cung cấp thời gian gia hạn hai tuần cho các hệ thống này để nâng cấp thư viện của họ…

Sau đó, vào ngày 22/2, thứ sáu, GitHub sẽ vô hiệu hóa toàn bộ các giao thức cũ.

Dưới đây là các thay đổi có hiệu lực của GitHub:

  • TLSv1 / TLSv1.1: Điều này áp dụng cho tất cả các kết nối HTTPS, bao gồm kết nối web, API và git tới https://github.com và https://api.github.com.
  • diffie-hellman-group1-sha1: Điều này áp dụng cho tất cả các kết nối SSH tới github.com
  • diffie-hellman-group14-sha1: Điều này áp dụng cho tất cả các kết nối SSH tới github.com

Mặc dù chỉ một số ít người dùng vẫn dựa vào TLS 1.0 và 1.1, nhưng chúng bị lỗi thời vì TLS 1.2 và TLS 1.3 đã được phát triển. Tuy nhiên, GitHub đã dự đoán một số vấn đề. Mặc dù, có lẽ không nhiều như thực sự xảy ra.

Đã có một vài sự cố trong việc GitHub không sử dụng TLS 1.0 và 1.1.

Giao tiếp kém

Khi bạn thực hiện thay đổi có khả năng ảnh hưởng đến một lượng lớn cơ sở người dùng của mình, thường là tốt nhất nên gửi email cho họ ít nhất một lần về nó, nếu không nhiều lần. Điều đó đã không xảy ra ở đây. GitHub chỉ được đăng trên blog kỹ thuật và Twitter.

Twitter là một nền tảng tuyệt vời để tương tác với khách hàng và ở một mức độ nào đó để tiếp thị. Đây không phải là cách hay để cố gắng truyền đạt tin tức chính về sự thay đổi sắp tới. Và tôi sẽ đi ra ngoài một chi ở đây, nhưng rất có thể là nếu chủ sở hữu trang web không nâng cấp triển khai SSL và SSH của riêng mình từ TLS 1.0 hoặc 1.1 — họ có thể không theo dõi blog kỹ thuật của bạn. Tôi muốn sẵn sàng đặt cược rằng nếu bạn vẽ một biểu đồ Venn với chủ sở hữu trang web đang sử dụng các thuật toán đã mã hóa trong một vòng kết nối và độc giả của blog của bạn ở một vòng kết nối khác, sẽ không có nhiều trùng lặp.

Dù bằng cách nào, vấn đề là giao tiếp có thể tốt hơn ở đây.

Kế hoạch nghèo nàn

Điều này phần lớn gắn liền với vấn đề trước đó, nhưng việc thiếu thông tin liên lạc đã dẫn đến các nhà phát triển không đáp ứng kịp thời và sau đó tạo ra các bản sửa lỗi nóng qua đêm để trả lời cho vô số vấn đề người dùng được nêu ra.

Chuyên gia về Ứng dụng hệ thống của chúng tôi, Nick Perkins, đã theo dõi sự giảm sút từ quá trình chuyển đổi GitHub chặt chẽ. Đây là ý kiến ​​của anh ấy:

Trong khi có lỗi ở cả hai bên (nhà phát triển và GitHub’s), vấn đề lớn nhất trong tầm tay sẽ là sự chấp nhận của ngành. Điều này sẽ làm tăng mối quan tâm trong các ngành khác như PCI, Y tế và các lĩnh vực chính khác. Hoàn toàn trung thực, điều này có lẽ sẽ trì hoãn việc áp dụng buộc TLS1.2 hơn nữa bởi vì các ngành này sẽ không muốn những điều trên xảy ra và tốn hàng triệu đô la nếu không phải hàng tỷ.

Digicert công bố vô hiệu hóa TLS 1.0/1.1

Trước đó DigiCert gửi thông báo cho các đối tác của mình rằng vào ngày 01 Tháng Tư 2018, DigiCert sẽ vô hiệu hóa TLS 1.0 và 1.1.

Tại DigiCert, chúng tôi cam kết sử dụng mã hóa hàng đầu và duy trì cơ sở hạ tầng mã hóa mạnh mẽ. Để chuẩn bị cho việc vô hiệu hóa TLS 1.0 / 1.1 trên toàn ngành và duy trì sự tuân thủ PCI của chúng tôi, DigiCert sẽ vô hiệu hóa TLS 1.0 / 1.1 vào ngày 1 tháng 4 năm 2018. DigiCert sẽ chỉ hỗ trợ TLS 1.2 trở lên trong tương lai.

Thay đổi này chỉ áp dụng cho trang web, tài khoản và dịch vụ DigiCert ở cấp trình duyệt. Điều này sẽ không ảnh hưởng đến các khách hàng của Symantec CA (Symantec, RapidSSL, GeoTrust và Thawte) vì DigiCert chưa hoàn toàn di chuyển tất cả các hệ thống của Symantec CA.

Thay đổi này cũng sẽ không ảnh hưởng đến người dùng cuối, một lần nữa nó ở cấp trình duyệt. Người dùng cuối sẽ không cần thực hiện bất kỳ thay đổi nào.

Cho đến nay, việc ngừng sử dụng TLS 1.0 và 1.1 của DigiCert đã có một khởi đầu mượt mà hơn so với GitHub. DigiCert đang sử dụng email để giao tiếp với các đối tác – một khái niệm mới lạ.

Chúng tôi sẽ theo dõi sự ngừng sử dụng TLS 1.0 và 1.1 của DigiCert và cập nhật cho bạn tương ứng.

bình luận

Leave a Comment