Browsers gaan in 2020 tls 1.1 uitschakelen - update

Browserbouwers gaan begin 2020 tls 1.0 en 1.1 uitschakelen. Dit hebben Microsoft, Apple en Google bekendgemaakt. Door dit vroeg aan te kondigen, hopen de bedrijven dat site-eigenaren genoeg tijd hebben om over te schakelen op tls 1.2 en 1.3.

Microsoft zegt dat het geen weet heeft van exploits in tls 1.0 en 1.1, maar dat er beveiligingsproblemen zijn met implementaties van derden. Dat maakt de uitschakeling van de oude webstandaarden voor beveiliging van sites volgens het bedrijf noodzakelijk. Bovendien wil standaardenorganisatie Internet Engineering Task Force de ondersteuning voor tls 1.1 beëindigen, waardoor er geen maatregelen meer zullen worden genomen als er exploits voor komen.

Volgens Microsoft moet de stap weinig problemen veroorzaken. Ongeveer 94 procent van 's werelds bekendste sites ondersteunt tls 1.2 of hoger en van alle sessies gebeurt op dit moment 0,72 procent in Edge via tls 1.0 of 1.1, zo zegt de browsermaker. Sites die nog niet over zijn, zouden dat snel moeten doen. Tls staat voor transport layer security en is een standaard voor de versleuteling van webverkeer. De eerste versie van tls dateert van ongeveer twintig jaar geleden.

Update, 21:23: Dit artikel ging eerst alleen over Edge en Internet Explorer, maar naar nu blijkt gaan andere browserbouwers ook tls 1.0 en 1.1 uitfaseren, waaronder Apple en Google. Ook Mozilla zou dat gaan doen in Firefox, maar die blogpost lijkt nog niet online.

Door Arnoud Wokke

Redacteur Tweakers

15-10-2018 • 18:05

31

Reacties (31)

31
29
25
4
0
3
Wijzig sortering
Ik vraag me af hoe veel beter 1.3 zal zijn vergeleken met 1.2 of zelfs 1.0/1.1
De verschillen / verbeteringen staan hier in een list.

https://www.wolfssl.com/d...ween-tls-1-2-and-tls-1-3/
Oh, wat fijn! Thanks
Die staat op "in development" dus is al gestart en toegezegd. En hoewel het makkelijk MS bashen is, is TLS 1.3 support ook nog in beta in Chrome en wordt pas in de volgende versie aangezet.

In Android 9 is die situatie ook hetzelfde, en wordt TLS 1.3 pas officieel ondersteund met de komst met de mobiele versie van chrome 70
Ter aanvulling: Chrome 70 beta wordt morgen uitgebracht als stabiel (als het goed is): https://www.chromestatus.com/features/schedule
Firefox heeft TLS 1.3 ook al aanstaan de huidige versie.
Je kan natuurlijk ook Chrome op oudere Android versies installeren, dus hoeft niet Android 9 te zijn.

[Reactie gewijzigd door Soldaatje op 22 juli 2024 15:06]

Ik wilde android specifiek noemen, omdat TLS voor niet-browser verbindingen afhankelijk is van het OS. Als je een andere app wil verbinden met een server kan dat dus op dit moment, via het OS, alleen nog met versie 1.2, zelfs al zou je 1.3 willen gebruiken. Android 9 is uitgebracht na de ratificatie van 1.3 dus is het OS net zo up-to-date als windows wat dat betreft. Anders dan oude Android versies is dit deel van het OS tegenwoordig wel later up-to-date te brengen en is ook toegezegd voor "soon".
TLS1.2 stamt uit het jaar 2008. De officiële 1.3 release uit 2018. Wat wil je precies zeggen hier?
Office 365 stopt eind deze maand met support op TLS 1.0/1.1 ... logische keus om dit op browserniveau ook te stoppen. Niet dat iemand dan weerhoudt om IE te gebruiken (voor zover dat niet al het geval is)..
Kleine toevoeging: TLS 1.0/1.1 wordt niet op 1 nov uitgeschakeld.

Microsoft biedt geen ondersteuning meer voor browsers en Outlook clients die nog willen verbinden met TLS 1.0. Dus mocht je een TLS 1.0 verbinding opbouwen en dit werkt op een gegeven moment na 1 nov niet meer, krijg je geen support.
Link
As of October 31, 2018, Microsoft Office 365 will remove support for TLS 1.0 and 1.1. This means that if you have issues connecting to Office 365 services because of weaker protocols, no support tickets would be generated.

Please note: This is NOT when Microsoft Office 365 will officially deprecate TLS 1.0 and 1.1.
Een andere bron van MS zet het volgende:

Because on October 31, 2018, Microsoft Office 365 will be disabling support for TLS 1.0 and 1.1. This means that, starting on October 31, 2018, all client-server and browser-server combinations must use TLS 1.2 or later protocol versions to be able to connect without issues to Office 365 services. This may require certain client-server and browser-server combinations to be updated.
https://blogs.technet.mic...s-versions-in-office-365/

en dit:

TLS 1.0 and TLS 1.1 support will be deprecated October 31, 2018. See Deprecating support for TLS 1.0 and 1.1 for more information. en vervolgens As of October 31, 2018, Office 365 will no longer support the use of TLS 1.0 or 1.1 for communication to Office 365. Once Office 365 deprecates support for these protocols, all communication to and from Office 365 servers will need to use TLS 1.2. For information about how this impacts you, see Preparing for the mandatory use of TLS 1.2 in Office 365. Servers and clients communicating with O365 after this date must support TLS 1.2.
https://support.office.co...68-4ef9-ba79-277545ecf221

[Reactie gewijzigd door DrClaw op 22 juli 2024 15:06]

If you do not update to TLS version 1.2 (or later) by October 31, 2018, you may experience issues when connecting to Office 365. If you experience an issue related to the use of an old TLS version after October 31, 2018, you will be required to update to TLS 1.2 as part of the resolution.

“You may experience issues”. Ik ga er liever niet op wachten 😜
Ja, het is heel erg de vraag hoe ze "support" in dit geval interpreteren. Ik denk dat ze bedoelen dat je na 31 okt niet meer zeker kunt zijn dat het allemaal prima blijft werken. Wellicht op 2 oktober werkt er niets meer, maar wie weet dat pas vanaf 2019 sommige onderdelen van Office 2019 meer connectiviteitsproblemen gaan geven. Een klant waarbij ik zit gebruikt nog Outlook 2010 en IE 10. Voor Outlook 2010 kan je TLS 1.2 support inschakelen. Maar IE 10 is echt een probleem. (dat weet men bij de klant ook en een nieuw OS platform wordt momenteel ontwikkeld)
IE ondersteund ook gewoon TLS 1.2, en waarschijnlijk ook wel dadelijk TLS 1.3, genoeg zakelijke klanten die nog met een OS werken dat geen Edge heeft, en IE wordt ook nog steeds met Windows 10 meegeleverd (en wordt ook nog door heel veel (win32) applicaties onderliggend als HTML viewer gebruikt).
IE ondersteund ook gewoon TLS 1.2,
Correctie: Windows ondersteunt TLS 1.2 in diens SSL/TLS stack, waar IE gebruik van maakt. Chrome en Firefox gebruiken eigen SSL/TLS stacks.
Ongeveer 94 procent van 's werelds bekendste sites ondersteunt tls 1.2 of hoger
Dat is natuurlijk een loze uitspraak, want wat wordt aangeduid als 'bekendste sites'...
Alexa ranking misschien? Lijkt me logisch dan.

[Reactie gewijzigd door Robbierut4 op 22 juli 2024 15:06]

Maarja, wat is het nu van zo'n uitspraak, het internet bestaat uit wel meer sites dan die zogenaamde 'bekendste sites'..
Ja eens, maar je kunt moeilijk 10 miljoen websites scannen welke tls versie ze gebruiken.
Daarom wordt in veel gevallen die met browsers te maken hebben de top 100 gebruikt.
Is denk ik ooit een praktische grens gelegd en door gewoonte zo gebleven.

Wat zou jij een betere grens vinden dan?
Hoezo is dat moeilijk? Computers zijn best wel goed in dingen 10 miljoen keer achter elkaar doen. En uitvinden welke TLS versie ze gebruiken is een kwestie van een "GET index.html" naar een HTTPS server sturen.
Goed bezig hoe sneller we oude meuk uitschakelen des te beter. Mensen die niet upgraden hebben er of geen zin in of snappen het niet en hebben dus niks op het web te zoeken.

Kijk voor de grap eens op https://www.ssllabs.com/ssl-pulse/ er is gewoon nog een groot aantal sites die bijvoorbeeld ook SSL V2.0 en V3.0 en RC4 accepteren 8)7

Hoop wel dat Microsoft TLS 1.3 nog uitbrengt voor server 2012R2..... aangezien die pas 10-10-2023 end of life gaat.

[Reactie gewijzigd door HKLM_ op 22 juli 2024 15:06]

Met dat de Mainstream support van 2012 R2 al is verlopen. Waarom niet vanuit die eerste upgrade gedachte nu al beginnen met een migratieplan richting versie 2016 zodat je daarop straks TLS 1.3 kunt inzetten? :Y)

https://support.microsoft...a=windows%20server%202012

[Reactie gewijzigd door OruBLMsFrl op 22 juli 2024 15:06]

Yes dit jaar nog de laatste 2008 bakjes eruit en vanaf volgend jaar alle 2012 systeempjes 8-)

Ik zal het issue niet hebben maar er zijn er zat die het wel hebben...

[Reactie gewijzigd door HKLM_ op 22 juli 2024 15:06]

Ongeveer 94 procent van 's werelds bekendste sites ondersteunt tls 1.2 of hoger
En de overige 6% zijn websites die 'nog ergens rondzwerven' en geen aandacht meer krijgen. Ik kom af en toe websites tegen die volgens mij ook het laatste ge-update zijn hooguit een paar jaar na de introductie van TLS1.0...

Edit: typo's

[Reactie gewijzigd door Swerfer op 22 juli 2024 15:06]

Die oude sites zullen dan ook wel niet via HTTPS aangeboden worden vermoed ik.
Ik denk dat het ook meer is voor interne applicaties. Die kunnen soms nog wel eens problemen met sommige interne services hebben.
Vanuit security compliance wordt nu bijna altijd TLS 1.2 ge-eist. Aangezien alle major (en minor) browsers dat ondersteunen is het ook een kleine moeite om ook je website dat exclusief te laten ondersteunen.

SSLv3 staat natuurlijk sowieso al uit’
In sommige versies van ASP.Net moet je nog steeds door hoepels springen om TLS1.2 überhaupt te kunnen gebruiken voor server-side requests. Gelukkig is het een kleine fix, maar veel servers schakelen TLS1.1 en lager uit, dus ik kom toch met enige regelmaat tegen dat dit 'gefixt' moet worden. Terwijl het natuurlijk eigenlijk de default zou moeten zijn.

Maar goed, beter fixen dan onveilige verbindingen gebruiken (niet dat TLS 1.0 en 1.1 zo onveilig zijn, alleen als je slechte encryptie gebruikt (MD5-SHA-1 is geen optie meer in TLS1.2)).
Leuk, nu email clients nog! Hoe veel mensen nog wel niet een (ingebouwde) oude email client gebruiken die als je geluk hebt TLS 1.0 ondersteund en flink op hun smoel gaan als je TLS 1.1+ vereist.

Op browser gebied ligt al lange tijd de focus op HTTPS en alle snufjes voor beveiliging maar bij email clients ho maar :Y)

Op dit item kan niet meer gereageerd worden.