In questi giorni Chrome, Firefox ed Edge hanno annunciato il termine del supporto a TLS 1.0 e 1.1 entro il 2020. Il protocollo Transport Layer Security (TLS), insieme al Secure Sockets Layer (SSL), sono i due standard di crittografia più diffusi in Rete, permettono infatti la comunicazione sicura dei dati e delle informazioni da un utente all'altro (end-to-end) sulle comuni reti TCP/IP. Questi protocolli forniscono un sistema di autenticazione e garantiscono l'integrità dei dati operando al di sopra del livello di trasporto.
Diverse versioni di tali protocolli sono state implementate anche nelle varie applicazioni di messaggistica istantanea, nei servizi di posta elettronica, nei programmi VOIP e nei browser. Ad esempio i protocolli SSL/TLS vengono sfruttati con HTTPS per fornire dei servizi web sicuri e affidabili. Dunque le aziende che sviluppano i browser web più utilizzati hanno comunicato una deadline ben precisa agli operatori che sfruttano ancora protocolli di sicurezza poco aggiornati.
Per offrire una maggiore sicurezza agli utenti questi due protocolli si stanno velocemente evolvendo e le versioni più vecchie stanno per essere deprecate per abbracciare le versioni più aggiornate e più sicure. Attualmente le versioni SSL v2 e v3 sono considerate insicure, idem per TLS 1.0 e 1.1. Quindi i principali team di sviluppo dei browser web stanno puntando al supporto esclusivo d TLS 1.2 e 1.3.
A questo proposito Apple ha deciso di deprecare TLS 1.0 e 1.1 dal motore dal web engine di Safari, Webkit. Questa scelta porterà immediati benefici, ovvero:
- implementazione di algoritmi di cifratura più moderni e robusti con prestazioni migliori;
- resistenza agli attacchi di tipo BEAST;
- rimozione delle funzioni di hash obbligatorie ed insicure con SHA-1 e MD5;
- resistenza agli attacchi downgrade-related come i LogJam e i FREAK.
Da anni i developer Apple implemeno nelle applicazioni di iOS una feature chiamata ATS (App Transport Security). Tale funzionalità impone alle applicazioni mobile di connettersi ai server back-end tramite HTTPS, anziché HTTP, cosi da crittografare i dati in transito. Le connessioni HTTPS vengono realizzate usando i certificati di autenticazione TLS 1.2, che rappresenta lo standard per l'ecosistema di Apple.
Con la finalizzazione di TLS 1.3 da parte dell'IETF (Internet Engineering Task Force) di agosto 2018 presto Cupertino dovrebbe iniziare la migrazione a questa nuova versione del protocollo. Pertanto il taglio del supporto di TLS 1.0 e 1.1 sarà completamente indolore per gli utenti.
Via Webkit