是时侯和 TLS 1.0 和 1.1 说再见了

目前使用的TLS协议有三个版本，即TLS 1.0、1.1跟1.2。

TLS 1.0于1999年发行，至今将近有20年。业内都晓得该版本易受各类防御（如BEAST跟POODLE）已有多年，除此此外，支持较弱加密，对现今网路连结的安全已丧失应有的保护效力。

而TLS 1.1觉得好像是被遗忘的“老二”。该版本虽没有任何已知的合同漏洞，但是它竟共享支持错误加密。因而存在一个现象，就是大部分硬件就会跳过直接使用TLS 1.2，而甚少见到使用TLS 1.1。

目前甚少客户端使用这两个版本，在许多站点的所有HTTPS连结中，仅占个位数的比率。虽然由SSL Pulse监控所得数据显示，在150,000个启用HTTPS的站点中，仍有88%的支持TLS 1.0以及85%的支持TLS 1.1。

这很明显，是时侯该停止使用这种显然仍支持HTTPS但已过时的合同版本了，但是互联网上的事儿几乎中止跟中止还是有着巨大的差别的。今年，已有大量网站跟服务最终结束了对TLS 1.0跟1.1的支持，这其中就包括DigiCert。

几乎每位阅读此帖（事实上大部分互联网）的人都正在使用TLS 1.2，这是当前最新的合同版本（TLS 1.3发行来袭，稍后再做具体介绍）。目前该版本是惟一被密码学家所推荐且可以称得上是“现代”的合同版本。

遗憾地是，仍有小部份用户因其硬件落后而未能实现版本的升级。TLS 1.2虽早在2008年就已公布，但是竟在一些主流平台跟浏览器上出战过一段时间。Internet Explorer直至2013年发行11版本才实现支持TLS 1.2；而安卓版本在5.0（于2014年发行）之前也仅支持TLS 1.0，事实上，目前仍有将近18%的安卓设备继续使用此版本。

具体考量整个互联网系统使用TLS协议的状况是十分难的。而来自全球最大的CDN之一的Cloudflare的数据竟还能比较好地展现整个互联网范围的情形概况。他们最近分享了一项检测结果，他们的网路上大约有11%的流量在使用TLS 1.0（而仅有十分少一部分 (0.38%) 在使用TLS 1.1）。

更难确定的是，有多少比率的流量来自有机黏度的消费硬件，以及有多少比率是来自运行web服务器、API端点跟其它硬件的笔记本。

TLS 1.0跟1.1现在在互联网上的存在可以说就是一种安全隐患，这些合同几乎得到了服务器的普遍支持tls，但是从客户端使用上来说竟几乎是截然相反的僵局。使用这种版本的客户端会遭到其缺陷引致的负面后果。互联网的其余部份则给降级防御（该防御会促使用户降级使用更弱的TLS版本以运用已知漏洞）留有可乘之机，从而导致不必要的损害。对于大部分这些服务器，为了“以防万一”仍留有旧版的TLS，或者在启用新版本后根本就忘了关掉旧版合同。

最终剌激弃用TLS1.0的是其在PCI（支付卡行业）标准中正式要叩响最后期限的钟声。这些标准覆盖了与处理相关的各项安全操作，且适用于众多行业。自2018年6月30日起，网站将须要停止支持TLS1.0以实现PCI合规。

下一个版本即TLS 1.1被视为一个小的增量升级。虽然6月后PCI标准仍容许使用TLS 1.1，但是这些网站同时弃用了这个版本，因为该版本向来使用率就低。

那么这对于俺们普通的浏览器用户意味着哪些呢？说明这次变更对我们没有哪些影响。绝大部分网站早已支持TLS 1.2，且任何现代浏览器（近五年发行的几乎所有浏览器）也都支持TLS 1.2，也选择了最新支持的版本。

弃用旧版TLS协议主要会影响非浏览器的硬件、API跟其它互联网基础设施。目前仍有不支持TLS 1.2的旧版开发工具（如curl）直接在开发员范围或作为其它硬件绑定的依赖工具广为使用。Github是首批关掉使用TLS 1.0跟1.1的主要服务项目之一。他们于2月份作出这次变更，由此在开发员工具中发觉了大量损毁。

DigiCert也将于4月1日在我们的所有服务中禁用TLS 1.0跟1.1，包括我们的网站跟API（我敢保证这绝对不是愚人节的玩笑）。

很多其它主流网站跟服务也都陆续宣布于月底结束支持旧版本。KeyCDN将于3月30日结束支持TLS 1.0跟1.1，Cloud.gov亦这么。Fastly将于5月8日停止支持TLS 1.0跟1.1。Cloudflare将于6月4停止支持在其API使用TLS 1.0跟1.1。Microsoft’s Office 365自10月31日起也将仅支持TLS 1.2。事实上，这些仅是其中的几个实例而已。

随着TLS 1.0 的谢幕，安全协议的下一代正式登场。TLS 1.3已在互联网安装工程任务组的制定阶段进行了相当长一段时间，并于最近在纽约的IETF 101大会上斩获通过。而最终的初审步骤还需几个月的时间，然后随着客户端跟服务器硬件的支持，部署将要随即平缓进行。

TLS 1.3较前两个版本有突破性改进，其中包括，握手更快因而加速连结速率；简化支持的加密方法，最终增加了合同的复杂性也清除了不安全的密码。

TLS 1.3草案版本已在相当长一段时间内得到了一些主要提供商的支持，如Chrome浏览器跟Cloudflare。近期tls，Cloudflare分享了一份数据，其网路上2%的连结已使用TLS 1.3。当TLS 1.3成为即将的RFC的时侯，主流硬件包（如OpenSSL）逐渐添加支持后，该新的合同版本的使用率将要展现飞跃式的下降。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-135085-1.html