仍在使用旧的TLS 1. 0 和1. 1 协议,按计划Chrome、Firefox等大多数主流浏览器将于本月晚些时候停止支持旧版协议。根据英国技术公司Netcraft近期发布的一份报告,涉及的主要包括银行、政府、新闻机构、电信、电子商务商店和互联网社区的网站。
报告称,85 万个网站仍使用HTTPS,但是版本太低。因为这些网站都是建立在基于TLS 1. 0 和TLS 1. 1 协议的加密证书的HTTPS连接。TLS 1. 0 和TLS 1. 1 分别于 1999 年和 2006 年发布的老版协议,使用的是弱加密算法。而在 2008 年和 2018 年分别发布了协议的新版本,分为TLS 1. 2 和TLS 1.3,无疑更优于旧版本,使用起来也更安全。在 2018 年春季TLS 1. 3 版本发布之后,苹果、谷歌、Mozilla和微软四大浏览器制造商于 2018 年 10 月联合宣布计划在 2020 年初取消对TLS 1. 0 和TLS 1. 1 的支持。
这些浏览器在去年就开始在使用TLS 1. 0 和TLS 1. 1 的网站上贴上标签,在URL地址栏和锁定图标显示“不安全”标识,暗示用户HTTPS连接并不像他们想象的那样安全。
本月晚些时候,当用户访问使用TLS 1. 0 或TLS 1. 1 的网站时,浏览器将从显示隐藏警告变成显示整个页面错误。
根据Netcraft的扫描结果,受影响的网站大约有 85 万个,其中超过 5000 个为在Alexa前 100 万个网站中排名。对此,Netcraft研究人员表示,消除客户端对这些旧协议的支持是确保其相关漏洞不再构成任何风险的最有效方式。