TLS 1.0 och 1.1 går i graven

Om du mot förmodan och allmän klokskap använder säkerhetsprotokollet TLS 1.0 eller 1.1 för att säkra kommunikationen med din webbsajt, har du till mars 2020 på dig att uppgradera. Annars kommer din sajt inte att fungera med de stora webbläsarna, skriver Ars Technica.

TLS (Transport Layer Security) används för att säkra http-sessioner mellan webbsajter och webbläsare. TLS (och tidigare SSL) skapar http-sessioner som är konfidentiella, autentiserade och förhindrar manipulationer. Version 1.0 infördes 1999 och version 1.1 kom ut 2006. Genom åren har det uppdagats buggar och fel i dessa versioner som rättats i de senare versionerna 1.2 och 1.3 som presenterades 2008 respektive 2018. SSL (Secure Socket Layer) slutade helt och hållet att stödjas av webbläsarna 2014.

Läs också: Larmrapporten: Trots år av attacker – enkelt skicka mejl med falsk avsändare

De stora leverantörerna av webbläsare tänker nu alltså även göra processen kort med TLS 1.0 och 1.1 som inte ses som säkra protokoll idag.

Olle E. Johansson, TLS-expert på konsultföretaget Edvina tycker det är bra att de gamla protokollen läggs till historien.

– Det är ett stort steg fram för webben, även om det finns många gamla webbservrar som inte hänger med. Man önskar ju att budskapet kommer ut: Om du bygger med säkerhetsprotokoll så måste du bygga på ett sätt så du kan hänga med när vissa krypton blir gamla, när protokoll vissnar. För det kommer de göra. Även nya TLS 1.3 har ett bäst-före-datum. Det här gäller ju inte minst på IoT-sidan, där klienterna inte alls uppdateras i samma takt som webbläsarna.

De äldre protokollen används som tur är inte av så många webbservrar idag, vilket medför att webbläsarnas stopp för protokollen inte kommer få större konsekvenser. Enligt statistik från respektive leverantör av webbläsare är det som mest 1,4 procent (Mozilla Firefox) av webbservrarna idag som fortfarande använder TLS 1.0 eller 1.1.

Idag rekommenderas minst TLS 1.2, som dessutom är ett krav för http 2.0. TLS 1.3, som lanserades tidigare i år, har inte lika hög utbredning, men Olle E. Johansson ser många fördelar med det senaste protokollet.

Läs också: Kalifornien förbjuder standardlösenord i uppkopplade prylar

– TLS 1.3 innehåller många funktioner för att redan från första paketet skydda information och att snabbare sätta upp sessioner jämfört med tidigare versioner av TLS. Fokus har varit på att uppnå en hög integritet i hela sessionen jämfört med tidigare versioner, som fokuserade på att skapa en skyddad session, men inte skyddade alla parametrar i uppstartsskedet. Förutom det har man som alltid uppdaterat listan på godkända algoritmer, något som alltid behöver göras då både goda och onda aktörer får mer datorkapacitet hela tiden.

Statistik från SSL Labs visar att hela 94 procent av alla sajter använder TLS 1,2 idag. Vi har tidigare skrivit om hur du uppgraderar.

Byt erfarenheter inom programmering med branschkollegor på Code Night #13 - Säkerheten sitter i koden. Läs mer och boka din plats här.