Il Transport Layer Security (TLS) è un protocollo di sicurezza d’importanza cruciale, utilizzato per proteggere il traffico web. Il protocollo si prende cura della riservatezza e integrità dei dati in transito tra client e server, scambiandosi informazioni spesso sensibili.

Per salvaguardare al meglio questi dati, è importante utilizzare versioni moderne e più sicure di questo protocollo. Nello specifico, le applicazioni dovrebbero abbandonare TLS 1.0 e 1.1.

Questa è un’opinione condivisa dai “giganti” del web.

Il 19 gennaio del prossimo anno segna il ventesimo anniversario di TLS 1.0. La prima versione del protocollo che cripta e autentica le connessioni sicure sul web è stata infatti lanciata nel gennaio 1999.

Nell’era di Internet, come ormai sappiamo bene, 20 anni sono un’eternità. E infatti negli ultimi 20 anni le versioni successive di TLS sono diventate più avanzate e più sicure.

La sicurezza viaggia sui browser web

Sono molti i vantaggi nello spostarsi verso versioni più recenti del protocollo. Innanzitutto l’utilizzo di algoritmi di cifratura moderni, con adeguate caratteristiche di prestazioni e sicurezza. E che, ad esempio, non sono vulnerabili agli attacchi di tipo BEAST. TLS 1.0 non supporta i moderni algoritmi di crittografia.

Poi, la rimozione delle funzioni hash, obbligatorie e insicure, SHA-1 e MD5 come parte della peer authentication. Inoltre, la resistenza agli attacchi relativi al downgrade, quali LogJam e FREAK.

Considerando tutto ciò, i principali sviluppatori di browser hanno preso la decisione di non supportare più TLS 1.0 e TLS 1.1. Pur non essendoci notizia di problemi che richiedano un’azione immediata. E infatti al momento la transizione definitiva è solo annunciata: essa inizierà nel 2020.

È la stessa Internet Engineering Task Force (IETF) a consigliare di non usare più le versioni più datate di TLS.

In questo documento draft la IETF descrive i motivi tecnici in modo più dettagliato.

Safari di Apple

Per Apple, è TLS 1.2 a offrire la sicurezza richiesta per il web moderno. È lo standard sulle piattaforme Apple e rappresenta il 99,6% delle connessioni TLS effettuate da Safari. TLS 1.0 e 1.1 rappresentano invece meno dello 0,36% di tutte le connessioni.

Inoltre, nell'agosto 2018 c’è stata la recente finalizzazione di TLS 1.3 da parte di IETF. Per cui, presumibilmente, la proporzione delle connessioni TLS legacy diminuirà ulteriormente. TLS 1.2 è richiesto anche per HTTP/2, che offre miglioramenti significativi delle prestazioni per i siti web.

Pertanto, per Apple il supporto per TLS 1.0 e 1.1 è deprecated. Il supporto completo verrà rimosso da Safari negli aggiornamenti di Apple iOS e macOS a partire da marzo 2020.

A chi possiede o gestisce un server web che non supporta TLS 1.2 o versioni successive, Apple suggerisce di eseguire l'upgrade subito. Se si utilizzano servizi o dispositivi legacy che non possono essere aggiornati, è opportuno farlo sapere contattando il Web Technologies Evangelist o postando una segnalazione di bug, con i dettagli.

Maggiori informazioni sono disponibili sul blog di WebKit.

Mozilla Firefox

Per quanto riguarda Firefox, anche Mozilla fa sapere che solo lo 0,1% delle connessioni usa ancora TLS 1.1. E Firefox ha già molte più connessioni con TLS 1.3, rilasciato di recente, che con TLS 1.0 e 1.1 combinati. L’ultima versione del protocollo include un core migliorato e rigorosamente analizzato, e può anche velocizzare le connessioni rispetto alla versione precedente.

Anche in Firefox a marzo del 2020 sarà disabilitato il supporto per TLS 1.0 e 1.1. Queste modifiche appariranno nelle versioni pre-release di Firefox (Beta, Developer Edition e Nightly) precedenti a quella data. Il team annuncerà le date specifiche quando avrà a disposizione una pianificazione più dettagliata.

Inoltre Mozilla si dice consapevole che un aggiornamento fondamentale come questo può richiedere del tempo. E che questa modifica interessa un numero elevato di siti. È proprio questo il motivo per cui l’annuncio viene fatto con largo anticipo rispetto alla data di fine del supporto. Qui è possibile ricevere maggiori informazioni.

Microsoft Edge e Internet Explorer 11

Anche Microsoft ha annunciamo l’intento di disabilitare TLS 1.0 e 1.1 nelle versioni supportate di Microsoft Edge e Internet Explorer 11. Per quanto riguarda la data, Microsoft parla però genericamente della prima metà del 2020. L’azienda informa inoltre che TLS 1.3 è attualmente in sviluppo per una versione futura di Microsoft Edge.

Anche per Redmond passare a versioni più recenti aiuta a garantire un web più sicuro per tutti. Microsoft si aspetta che per IETF TLS 1.0 e 1.1 siano deprecate entro la fine dell'anno. Per questi motivi, i siti dovrebbero iniziare a spostarsi dalle versioni 1.0 e 1.1 non appena possibile.

Tra l’altro, secondo Microsoft la maggior parte dei siti non dovrebbe subire ripercussioni da questo cambiamento. Molti siti sono già passati a versioni più recenti del protocollo. I dati di SSL Labs, informa Microsoft, mostrano che il 94% dei siti supporta già TLS 1.2 e meno dell'1% delle connessioni giornaliere in Microsoft Edge utilizza TLS 1.0 o 1.1.

L’intenzione di Microsoft è di disabilitare queste versioni vecchie per impostazione predefinita in anticipo. Ciò per concedere alla piccola parte di siti rimanenti, il tempo sufficiente per eseguire l'aggiornamento a una versione più recente. È quindi possibile verificare l'impatto di questo cambiamento variando le impostazioni nel pannello di controllo Opzioni Internet di Windows.

Maggiori informazioni sono disponibili sul blog Microsoft.