El protocolo Transport Layer Security (TLS) se utiliza para encriptar la información entre cliente y servidor protegiéndola de terceros. Hace unos años se propuso dejar de dar soporte a las versiones TLSv1.0 y TLSv1.1 a inicios de .
A partir del próximo día , dejaremos de soportar los protocolos TLSv1.0 y TLSv1.1 en todos nuestros servicios requiriendo el uso de TLSv1.2 o superior.
Motivación
La primera especificación de TLS se aprobó en (hace ya ) y carece de soporte para los algoritmos de encriptación recomendados en la actualidad mientras usa funciones de hash como MD5 o SHA1 vulnerables a colisiones... Esto hace que desde , esté recomendado utilizar su sucesor TLSv1.2 o el más reciente TLSv1.3.
Mantener la compatibilidad con estos protocolos desfasados crea oportunidades de potenciales ataques, malas configuraciones... Desde hace años está desaconsejado su uso. Por ello, los navegadores de Apple, Google, Microsoft y Mozilla van a dejar de soportar estos protocolos durante .
| Fecha (estimada) | Navegador | Observaciones |
|---|---|---|
| |
Chrome 72 | El motor (Blink 72) también se usa en Brave, Chromium, Edge (Anaheim), Maxthon, Opera, Vivaldi... |
| |
Firefox 73 | |
| |
Webkit | Usado en Safari, iOS... |
Además de suprimir el soporte en los clientes, también está recomendado (RFC7525) que los servidores eviten su uso y existe un borrador que directamente desaconseja usar TLSv1.0 y TLSv1.1 y propone archivar los estándares. Previsiblemente, en próximas fechas, se irá suprimiendo su soporte en los distintos servicios, aunque ya se ha aplicado en algunos casos como Twitter que lo desactivó .
Starting July 15, 2019, all connections to the Twitter API (and all other Twitter domains) will require TLS 1.2. Read more about this change on our developer forum: //t.co/3q2MwmzAzi
— Twitter API (@TwitterAPI) June 11, 2019
¿Qué tengo que hacer?
Si el cliente/servidor están actualizados, se negocia y utiliza automáticamente TLSv1.2 o superior y no es necesario hacer nada para que todo funcione correctamente. Por esto, el impacto de esta medida se considera muy bajo.
Pueden surgir problemas si se utiliza software como Android 4.3 "Jelly Bean" (última actualización en ), Windows 7 sin actualizar (lanzado y que sale de soporte extendido) o Chrome 28 (última actualización a finales de ): aplicaciones sin actualizar con al menos 7 años de antigüedad que no soportan TLSv1.2. En estos casos se recomienda encarecidamente actualizar a versiones más modernas.