Twitter sẽ không hỗ trợ cho TLS 1.0, TLS 1.1 vào ngày 15 tháng 7

Ngày Đăng : Saturday, July 13, 2019

Vào thứ Hai, ngày 15 tháng 7, Twitter sẽ lái một chiếc đinh khác vào quan tài của TLS 1.0 và TLS 1.1. Gã khổng lồ truyền thông xã hội đóng vai trò là phần bình luận của thế giới sẽ chính thức yêu cầu tất cả các kết nối sử dụng TLS 1.2 trở lên bắt đầu vào tuần tới.

Twitter sẽ không hỗ trợ cho TLS 1.0, TLS 1.1 vào ngày 15 tháng 7

Tất cả các kết nối Twitter sẽ yêu cầu TLS 1.2 bắt đầu từ thứ Hai

Vào thứ Hai, ngày 15 tháng 7, Twitter sẽ lái một chiếc đinh khác vào quan tài của TLS 1.0 và TLS 1.1. Gã khổng lồ truyền thông xã hội đóng vai trò là phần bình luận của thế giới sẽ chính thức yêu cầu tất cả các kết nối sử dụng TLS 1.2 trở lên bắt đầu vào tuần tới.

Động thái này là một phần của một phong trào lớn hơn để loại bỏ các phiên bản lỗi thời của giao thức TLS. Có các lo ngại về bảo mật hợp pháp liên quan đến TLS 1.0 và TLS 1.1, đó là lý do tại sao mọi người chơi lớn trong ngành công nghệ đã có - hoặc đã công bố kế hoạch - không hỗ trợ cho họ.

Vì vậy, hôm nay chúng tôi sẽ làm cho nó nhẹ nhàng và nói về việc Twitter loại bỏ hỗ trợ cho TLS 1.0 và TLS 1.1 vào tuần tới, tại sao TLS 1.0 và TLS 1.1 lại xuất hiện và có bao nhiêu trang web vẫn hỗ trợ chúng.

Hãy băm nó ra.

Twitter De-platform TLS 1.0 và TLS 1.1

Trong khi Twitter thực sự tuyên bố loại bỏ hỗ trợ cho TLS 1.0 và TLS 1.1 sắp tới một tháng trước vào ngày 11 tháng 6, thì nó đã bay theo radar cho đến khi Twitter bị cúp điện đêm qua.

Khi dịch vụ trở lại, Twitter hơi mờ đục về nguyên nhân của nó :

Sự cố ngừng hoạt động là do thay đổi cấu hình bên trong, hiện chúng tôi đang khắc phục. Một số người có thể truy cập lại Twitter và chúng tôi đang làm việc để đảm bảo Twitter có sẵn cho mọi người nhanh nhất có thể.

Đây hoàn toàn là phỏng đoán của tôi, nhưng rất có thể các vấn đề về cấu hình có thể xuất phát từ việc loại bỏ hỗ trợ sắp tới của Twitter cho các phiên bản giao thức TLS cũ hơn. Một lần nữa, đó không chỉ là một phỏng đoán có giáo dục, nhưng nó sẽ xếp hàng. Chúng ta sẽ có một ý tưởng tốt hơn nếu bí ẩn Twitter đẩy lùi ngày phản đối của nó.

Dù bằng cách nào, các kế hoạch yêu cầu TLS 1.2 cho tất cả các kết nối đã được tiến hành tốt.

Theo Andy Piper của Twitter :

Bắt đầu từ ngày 25 tháng 7 năm 2019 , tất cả các kết nối với API Twitter (và tất cả các tên miền Twitter khác) sẽ yêu cầu TLS 1.2. Thay đổi này sẽ ảnh hưởng đến tất cả các định dạng và tầng của API (REST, phát trực tuyến và webhooks; API tiêu chuẩn, cao cấp, doanh nghiệp và Quảng cáo và Phương tiện), cũng như nền tảng Twitter rộng hơn.

Điều này sẽ có tác động lớn nhất đối với các API kết nối với Twitter. Nếu bạn đã có nút chia sẻ hoặc nguồn cấp dữ liệu Twitter trên trang web hoặc blog của mình - điều đó có nghĩa là điều này có thể ảnh hưởng đến bạn. Nói chung, rất nhiều loại ứng dụng và plugin web đó được phát triển bởi bên thứ ba - một trong số đó hy vọng là trên hết - nhưng nếu bạn tạo ra một nhà cung cấp tệ hại thì bạn có thể gặp khó khăn Sáng thứ hai.

Chúng tôi khuyên bạn nên xem xét TẤT CẢ mã kết nối với API Twitter và xác thực rằng nó sử dụng các thư viện hỗ trợ các tiêu chuẩn mã hóa hiện đại, an toàn. Cụ thể, bạn phải đảm bảo rằng mã của bạn đàm phán chính xác kết nối TLS 1.2 với api.twitter.com và các tên miền liên quan.

Vì vậy, nếu bạn chưa biết - đây là thông báo của bạn: Đảm bảo mọi kết nối bạn thực hiện với Twitter hoặc API hỗ trợ TLS 1.2 hoặc chúng sẽ bị hỏng vào ngày 15 tháng 7 năm 2019.

Tại sao TLS 1.0 và TLS 1.1 không được dùng nữa?

Đối với người mới bắt đầu, chúng là cổ xưa trong các năm internet. SSL (Lớp cổng bảo mật) 1.0 là lần lặp đầu tiên của SSL / TLS, nó được Netscape phát triển vào năm 1995 và không bao giờ được phát hành vì lỗi bảo mật. 2.0 được phát hành với các lỗi bảo mật gần như ngay lập tức cần đến sự phát triển của SSL 3.0 vào năm 1996.

TLS được giới thiệu vào năm 1999 với tư cách là người kế thừa của SSL. SSL 2.0 và SSL 3.0 đã chính thức bị từ chối vào năm 2011 và 2015, tuy nhiên và số lượng trang web không thoải mái vẫn hỗ trợ chúng cho đến ngày nay.

Có một số khác biệt giữa SSL và TLS ở cấp độ kỹ thuật, có thể là lớn nhất - ít nhất là ban đầu - là cách các kết nối được bắt đầu, theo cổng hoặc theo giao thức. Nhưng mỗi phiên bản kế tiếp đã có các cải tiến kỹ thuật so với các phiên bản trước để bạn có thể đưa ra lập luận rằng TLS 1.3 và TLS 1.2 khác biệt nhiều so với SSL 3.0 và TLS 1.0. Chúng tôi thực sự chia tóc ở đây mặc dù.

TLS 1.0 đã được phát hành vào năm 99. TLS 1.1 xuất hiện vào năm 2006. 1.1 thực sự là một đứa con riêng của gia đình, nó không được chấp nhận rộng rãi - chủ yếu là do TLS 1.2 xuất hiện hai năm sau đó vào năm 2008. Năm ngoái, sau gần 30 dự thảo, IETF cuối cùng đã hoàn thành việc xác định TLS 1.3 là RFC 8446.

Đây là số lượng trang web vẫn hỗ trợ các giao thức khác nhau, theo WatchGuard :

không ai TLS 1.3 TLS 1.2 TLS 1.1 TLS 1.0 SSL 3.0 SSL 2.0
20.911 17.345 59.830 53 2.21 5 0

Bây giờ hãy nói về các gì cụ thể khiến việc tiếp tục hỗ trợ TLS 1.0 và TLS 1.1 trở thành mối đe dọa: các lỗ hổng với các từ viết tắt xấu. MÓN ĂN. CHẾT CHÌM. QUÁI THÚ. Tấn công tước SSL. Tấn công hạ cấp.

Bây giờ, nếu chúng ta trung thực, rất nhiều các khai thác này thực sự khá phức tạp để thực hiện. Rất nhiều lần ngành công nghiệp này làm một công việc kém phân biệt giữa một mối đe dọa sắp xảy ra và một lý thuyết. Và ngành công nghiệp này nói riêng, vốn bị ám ảnh bởi sự thuần khiết, đặc biệt có tội với điều đó.

Nhưng có một cơ hội khác không rằng các lỗ hổng này có thể bị khai thác.

Và các trang web và ứng dụng có vấn đề lớn hơn sắp sửa gặp phải là thiếu sự hỗ trợ từ các người chơi trong ngành quan trọng. Trong một động thái khá chưa từng có, Apple, Microsoft, Mozilla và Google - rằng bốn nhà sản xuất trình duyệt lớn - đã cùng nhau công bố kế hoạch từ chối hỗ trợ cho TLS 1.0 và TLS 1.1 vào tháng 1 năm 2020 . PCI DSS đã bắt buộc khấu hao TLS 1.0 và cũng khuyến cáo mạnh mẽ hỗ trợ cho TLS 1.1.

Khi ngày càng nhiều nhà lãnh đạo ngành công bố kế hoạch ngừng hỗ trợ mọi thứ trừ TLS 1.2 và TLS 1.3 - sẽ khó khăn hơn và khó hơn để biện minh cho việc tiếp tục hỗ trợ các phiên bản cũ hơn.

Điều này có nghĩa gì với chứng chỉ SSL của tôi?

Không có gì. Chứng chỉ SSL / TLS không phụ thuộc vào các phiên bản giao thức và ngược lại. Khi một phiên bản mới của giao thức trở nên khả dụng - hoặc không dùng nữa - đó là nhiệm vụ cấu hình phía máy chủ. Bạn có thể cần cập nhật chứng chỉ nếu cần thay đổi yêu cầu kích thước khóa hoặc chữ ký số, nhưng nói chung, bạn có thể nâng cấp lên TLS 1.3 hoặc xóa hỗ trợ cho các phiên bản TLS cũ hơn mà không phải cập nhật hoặc điều chỉnh việc sử dụng chứng chỉ.

Vấn đề lớn hơn, như đã nêu trước đó, sẽ là cập nhật máy chủ và chỉnh sửa mã cho bất kỳ chương trình nào sử dụng API Twitter.

Người dùng Twitter trung bình có thể sẽ không nhận thấy bất kỳ sự khác biệt nào trừ khi họ sử dụng thiết bị cũ hơn hoặc chạy phiên bản hệ điều hành hoặc trình duyệt đã lỗi thời. Đây sẽ là một thay đổi tạo ra tác động ở cấp độ tổ chức.

Vì vậy, người đứng đầu lên.

Như mọi khi, hãy để lại bất kỳ bình luận hoặc câu hỏi nào dưới đây

Hashing Out by SSL Store là tiếng nói của ngành công nghiệp SSL / TLS.
Nguồn: Everything Encryption
Cảm ơn bạn đã đánh giá
0 Sao 0 Đánh giá