周一微軟、蘋果、Google及Mozilla四大廠商分別宣布將在2020年終止對網頁加密驗證協定TLS(Transport Layer Security)1.0及1.1版的支持。

[[246432]]

微軟旗下的Internet Explorer(IE)及Microsoft Edge會在2020年上半預設關閉TLS1.0及1.1。其中最早版本的TLS 1.0，到明年1月19日就屆滿20年。微軟Edge資深計劃經理Kyle Pflug指出，對一個安全技術而言，20年沒有修改是太久了。雖然微軟對TLS 1.0及1.1版的實作沒有發(fā)現到什么重大漏洞，但有漏洞的第三方實作的確存在，進階到更新的版本有助于確保大家的安全。

此外，負責開發(fā)網際網絡標準的IETF(Internet Engineering Task Force)九月公布TLS1.0和1.1版的退場草案，今年內可望將正式宣布，屆時IETF也將不再處理這些版本中的協定漏洞。TLS 1.3版則是已于今年三月通過。

Google工程師David Benjamin表示，舊版TLS使用MD5和SHA-1，兩者目前都已被破解，而且多所漏洞。TLS 1.0也已無法符合PCI-DSS(PCI Data Security Standard)認證的要求。此外，TLS 1.2要求HTTP/2，也更能加快網站速度。

Google將在Chrome 72版開始TLS 1.0及1.1的除役，使用TLS 1.0和1.1的網站到時會在Chrome 72的DevTools中看到除役警告，并在Chrome 81完全關閉。使用測試版的用戶從2020年一月就會受到影響。

Firefox的早期版本(包括Beta、Developer版及Nightly)在2020年3月之前就會開始啟動TLS 1.0和1.1版的除役。而蘋果iOS和macOS中的Safari則將從2020年3月起移除對舊版TLS的完整支持。

對IE、Edge、Chrome、Safari及Firefox而言，目前皆建議網站采用TLS 1.2，而網頁連線也以TLS 1.2為主，目前TLS 1.0在1.1版的連線流量對各瀏覽器比例皆極低，僅占Edge和Google的0.72%及0.5%，Safari的0.36%，以及Firefox Beta 62的1.2%。

Firefox及Chrome已支持TLS 1.3，Edge和Safari則正在開發(fā)中。