Microsoft już w 2018 roku zapowiedział wycofanie przestarzałych wersji protokołu TLS , jednak przełożył je w 2020 roku z powodu pandemii. Dopiero w ubiegłym roku firma ogłosiła wyłączenie Transport Layer Security 1.0 i 1.1 starszych przeglądarkach — Internet Explorer 11 i Microsoft Edge w wersji sprzed Chromium. Teraz pora na system Windows.
TLS 1.0 i TLS 1.1 to już dość mocno wiekowe wersje protokołu, wydane odpowiednio w 1999 i 2006 roku i wycofane w 2021. 2 dekady z punktu widzenia bezpieczeństwa sieciowego to wieczność. Trudno więc wymagać, aby narzędzia czy protokoły przez tak długi czas pozostawały niezmienione. Microsoft przyznał, że w TLS 1.0 i 1.1 nie wykryto znaczących przypadków podatności, niemniej istnieją one w zewnętrznych implementacjach protokołu. Ponadto obecnie w użyciu są standardy TLS 1.2 z 2008 i TLS 1.3 z 2018 roku. W nowym komunikacie firmy czytamy:
Transport Layer Security (TLS) to najpowszechniej używany protokół internetowy do konfiguracji szyfrowanego kanału komunikacji między klientem a serwerem. TLS 1.0 pochodzi z 1999 r. i z biegiem czasu w tej wersji protokołu wykryto kilka słabych punktów bezpieczeństwa. TLS 1.1 został opublikowany w 2006 r. i wprowadził pewne ulepszenia w zakresie bezpieczeństwa, ale nigdy nie został szeroko przyjęty. Wersje te od dawna przewyższają TLS 1.2 i TLS 1.3, a implementacje TLS próbują negocjować połączenia przy użyciu najwyższej dostępnej wersji protokołu.
W ciągu ostatnich kilku lat standardy internetowe i organy regulacyjne wycofały lub zabroniły wersji TLS 1.0 i 1.1 z powodu różnych problemów związanych z bezpieczeństwem. Śledzimy użycie protokołu TLS od kilku lat i uważamy, że dane dotyczące użycia TLS 1.0 i TLS 1.1 są wystarczająco niskie, aby podjąć działania. Aby zwiększyć poziom bezpieczeństwa klientów Windows i zachęcić do przyjęcia nowoczesnych protokołów, TLS w wersjach 1.0 i 1.1 wkrótce zostanie domyślnie wyłączony w systemie operacyjnym, począwszy od kompilacji Windows 11 Insider Preview we wrześniu 2023 r. i przyszłych wydań systemu operacyjnego Windows. Istnieje możliwość ponownego włączenia TLS 1.0 lub TLS 1.1 dla użytkowników, którzy muszą zachować kompatybilność.
— Jess Krynitsky, Microsoft
Zgodnie z tą zapowiedzią przestarzałe wersje protokołu zostaną wyłączone najpierw we wrześniowych buildach Windows Insider. Możliwe, choć raczej mało prawdopodobne, by zmiana miała być częścią jesiennych aktualizacji 23H2. W przyszłych wersjach systemu Windows implementacja będzie już domyślnie wyłączona. Dowiedz się więcej z artykułu:
