Twitter ngừng hỗ trợ TLS 1.0 và TLS 1.1 trên toàn bộ hệ thống

Tất cả các kết nối Twitter sẽ yêu cầu TLS 1.2 bắt đầu từ thứ Hai tuần tới

Vào thứ Hai, ngày 15 tháng 7, Twitter sẽ góp phần vào cái chết của TLS 1.0 và TLS 1.1. Gã khổng lồ truyền thông xã hội đóng vai trò là phần bình luận của thế giới sẽ chính thức yêu cầu tất cả các kết nối sử dụng TLS 1.2 trở lên bắt đầu vào tuần tới.

Động thái này là một phần của một phong trào lớn hơn để loại bỏ các phiên bản lỗi thời của giao thức TLS. Có những lo ngại về bảo mật hợp pháp liên quan đến TLS 1.0 và TLS 1.1, đó là lý do tại sao mọi người chơi lớn trong ngành công nghệ đã có – hoặc đã công bố kế hoạch – không hỗ trợ cho họ.

 

Twitter ngừng hỗ trợ TLS 1.0 và TLS 1.1

 

Theo Andy Piper của Twitter :

Bắt đầu từ ngày 25 tháng 7 năm 2019 , tất cả các kết nối với API Twitter (và tất cả các tên miền Twitter khác) sẽ yêu cầu TLS 1.2. Thay đổi này sẽ ảnh hưởng đến tất cả các định dạng và tầng của API (REST, phát trực tuyến và webhooks; API tiêu chuẩn, cao cấp, doanh nghiệp và Quảng cáo và Phương tiện), cũng như nền tảng Twitter rộng hơn.

Điều này sẽ có tác động lớn nhất đối với các API kết nối với Twitter. Nếu bạn đã có nút chia sẻ hoặc nguồn cấp dữ liệu Twitter trên trang web hoặc blog của mình – điều đó có nghĩa là điều này có thể ảnh hưởng đến bạn. Nói chung, rất nhiều loại ứng dụng và plugin web đó được phát triển bởi bên thứ ba – một trong số đó hy vọng là trên hết – nhưng nếu bạn sử dụng một dịch vụ bởi công ty không update thì bạn có thể gặp khó khăn Sáng thứ hai.

Chúng tôi khuyên bạn nên xem xét TẤT CẢ mã kết nối với API Twitter và xác thực rằng nó sử dụng các thư viện hỗ trợ các tiêu chuẩn mã hóa hiện đại, an toàn. Cụ thể, bạn phải đảm bảo rằng mã của bạn đàm phán chính xác kết nối TLS 1.2 với api.twitter.com và các tên miền liên quan.

Vì vậy, nếu bạn chưa biết – đây là thông báo của bạn: Đảm bảo mọi kết nối bạn thực hiện với Twitter hoặc API hỗ trợ TLS 1.2 hoặc ngừng hoạt động với Twitter vào ngày 15 tháng 7 năm 2019.

Tại sao TLS 1.0 và TLS 1.1 không được dùng nữa?

Đối với người mới bắt đầu, thì TLS 1.0 và TLS 1.1 là những kẻ lỗi thời của internet. SSL (Lớp cổng bảo mật) 1.0 là lần lặp đầu tiên của SSL / TLS, nó được Netscape phát triển vào năm 1995 và không bao giờ được phát hành vì lỗi bảo mật. 2.0 được phát hành với các lỗi bảo mật gần như ngay lập tức cần đến sự phát triển của SSL 3.0 vào năm 1996.

TLS được giới thiệu vào năm 1999 với tư cách là người kế thừa của SSL. SSL 2.0 và SSL 3.0 đã chính thức bị từ chối vào năm 2011 và 2015, tuy nhiên vẫn có một số trang web  hỗ trợ chúng cho đến ngày nay.

Có một số khác biệt giữa SSL và TLS ở cấp độ kỹ thuật, có thể là lớn nhất – ít nhất là ban đầu – là cách các kết nối được bắt đầu, theo cổng hoặc theo giao thức. Nhưng mỗi phiên bản kế tiếp đã có những cải tiến kỹ thuật so với các phiên bản trước để bạn có thể đưa ra lập luận rằng TLS 1.3 và TLS 1.2 khác biệt nhiều so với SSL 3.0 và TLS 1.0. Chúng tôi thực sự chia tóc ở đây mặc dù.

TLS 1.0 đã được phát hành vào năm 99. TLS 1.1 xuất hiện vào năm 2006. 1.1 thực sự là một đứa con riêng của gia đình, nó không được chấp nhận rộng rãi – chủ yếu là do TLS 1.2 xuất hiện hai năm sau đó vào năm 2008. Năm ngoái, sau gần 30 dự thảo, IETF cuối cùng đã hoàn thành việc xác định TLS 1.3 là RFC 8446.

Đây là số lượng trang web vẫn hỗ trợ các giao thức khác nhau, theo WatchGuard :

Không sử dụng TLS 1.3 TLS 1.2 TLS 1.1 TLS 1.0 SSL 3.0 SSL 2.0
20,911 17,345 59,830 53 2,221 5 0

Bây giờ hãy nói về những gì cụ thể khiến việc tiếp tục hỗ trợ TLS 1.0 và TLS 1.1 trở thành mối đe dọa: các lỗ hổng với các từ viết tắt xấu. POODLE. DROWN. BEAST. SSL Stripping attacks. Downgrade Attacks

Bây giờ, nếu chúng ta trung thực, rất nhiều những khai thác này thực sự khá phức tạp để thực hiện. Rất nhiều lần ngành công nghiệp SSL bị ảnh hưởng do sự không biệt giữa sự tấn công thật sự và lý thuyết. Và ngành công nghiệp này nói riêng, vốn bị ám ảnh bởi sự thuần khiết thường lo sợ việc mình sẽ bị tấn công.

Và các trang web và ứng dụng có vấn đề lớn hơn sắp sửa gặp phải là thiếu sự hỗ trợ từ những người chơi trong ngành quan trọng. Trong một động thái khá chưa từng có, Apple, Microsoft, Mozilla và Google – bốn nhà sản xuất trình duyệt lớn – đã cùng nhau công bố kế hoạch từ chối hỗ trợ cho TLS 1.0 và TLS 1.1 vào tháng 1 năm 2020. PCI DSS đã bắt buộc khấu hao TLS 1.0 và cũng khuyến cáo mạnh mẽ hỗ trợ cho TLS 1.1.

Khi ngày càng nhiều nhà lãnh đạo ngành công bố kế hoạch ngừng hỗ trợ mọi thứ trừ TLS 1.2 và TLS 1.3 – sẽ khó khăn hơn và khó hơn để biện minh cho việc tiếp tục hỗ trợ các phiên bản cũ hơn.

Điều này có nghĩa gì với chứng chỉ SSL của tôi?

Không có gì. Chứng chỉ SSL / TLS không phụ thuộc vào các phiên bản giao thức và ngược lại. Khi một phiên bản mới của giao thức trở nên khả dụng – hoặc không được dùng nữa – đó là nhiệm vụ cấu hình phía máy chủ. Bạn có thể cần cập nhật chứng chỉ nếu cần thay đổi yêu cầu kích thước khóa hoặc chữ ký số, nhưng nói chung, bạn có thể nâng cấp lên TLS 1.3 hoặc xóa hỗ trợ cho các phiên bản TLS cũ hơn mà không phải cập nhật hoặc điều chỉnh việc sử dụng chứng chỉ.

Vấn đề lớn hơn, như đã nêu trước đó, sẽ là cập nhật máy chủ và chỉnh sửa mã cho bất kỳ chương trình nào sử dụng API Twitter.

Người dùng Twitter trung bình có thể sẽ không nhận thấy bất kỳ sự khác biệt nào trừ khi họ sử dụng thiết bị cũ hơn hoặc chạy phiên bản hệ điều hành hoặc trình duyệt đã lỗi thời. Đây sẽ là một thay đổi tạo ra tác động ở cấp độ tổ chức.

bình luận

Leave a Comment