TLS 1.3 逐步进入 IETF RFC 系列,然而 TLS 1.0 和 1.1 版本甚至还在沿用,虽然互联网工程任务组(IETF)提出正式废止建议,连故障恢复都不要用。
古董级传输层安全协议(1.0版本可追溯至1999年,1.1版本于2006年面世)几乎淹没在历史尘埃里了,但只是几乎,还有一些应用实例仍在沿用这些老而不死的协议,戴尔EMC的凯瑟琳·莫里亚蒂( Kathleen Moriarty )和都柏林圣三一学院的史蒂芬·法瑞尔( Stephen Farrell )就想要正式废止这些协议。
他们提出的互联网草案称,废止时间不是在未来,而就是在当下,因为顽固组织或滞后项目里的开发人员可能需要点什么东西来说服上层,让老板们相信是时候采取行动了。
最后一击可能是禁止应用回滚到极不安全的 TLS 1.0 和 1.1 版本。
废止建议还去除了项目要求支持所有4个版本TLS(从1.0到1.3)的任何借口,简轻了开发人员的负担,减小了出现实现错误的风险。
鉴于支付卡行业(PCI)安全标准委员会的废止期限快要到来(2018年6月30日),该草案指出现在废止老版本TLS还算及时。
除了网站,3GPP 5G、CloudFlare、亚马逊和GitHub之类组织或公司,要么已经完成了TLS老版本废止工作,要么将在7月彻底抛弃老版本TLS。
弃用老版本TLS本身很简单:
客户端发送的ClientHello中ClientHello.client_version属性不能设置为{03,01}。同样地,服务器发送的ServerHello中ServerHello.server_version属性也不能设置为{03,01}。接收Hello消息的任一方,如果收到协议版本设置为{03,01}的消息,必须回以‘protocol_version’警报消息并关闭连接。
TLS 1.3 即将进入RFC大家庭,目前已经到了预公布过程的最后一步,作者最终审核阶段。正式公布时会以 RFC 8446 面世。
草案地址:
https://tools.ietf.org/html/draft-moriarty-tls-oldversions-diediedie-00