image

Google verwijdert TLS 1.0 en 1.1 in volgende Chrome-versie

vrijdag 14 februari 2020, 15:19 door Redactie, 13 reacties

Google zal vanwege beveiligingsredenen in de volgende versie van Chrome TLS 1.0 en 1.1 verwijderen, wat inhoudt dat websites die hiervan gebruikmaken niet meer zijn te bezoeken. Het TLS-protocol, dat onder andere wordt gebruikt voor het opzetten van een beveiligde verbinding, bestaat inmiddels meer dan 20 jaar. Alle grote browserontwikkelaars hebben aangegeven dat ze de ondersteuning van TLS 1.0 en 1.1 vanwege veiligheidsredenen zullen stoppen.

Google stelt dat TLS 1.0 en 1.1 verschillende kwetsbaarheden bevatten. Daarnaast voldoen de protocollen niet meer aan de PCI DSS-richtlijn voor betaalkaarttransacties op internet. Chrome laat op dit moment bij websites met TLS 1.0 en 1.1 de melding "niet veilig" zien. Ondanks de waarschuwing, die informatie over de verouderde TLS-configuratie bevat, kunnen gebruikers de website in kwestie nog wel gewoon bezoeken. Dat zal met de lancering van Chrome 81 veranderen.

Dan verdwijnen TLS 1.0 en 1.1 namelijk helemaal uit de browser. Websites met een beveiligde verbinding zijn dan alleen nog te bezoeken als ze van TLS 1.2 of 1.3 gebruikmaken. Chrome 81 staat gepland voor 17 maart. Vorige week maakte Mozilla bekend dat Firefox vanaf maart websites met TLS 1.0 en 1.1 gaat blokkeren. Vooralsnog zal Firefox worden voorzien van een knop waarmee de blokkade kan worden opgeheven. Volgens Google verloopt nog 0,25 procent van alle webpagina's die Chrome-gebruikers laden via de oudere TLS-versies.

Reacties (13)
14-02-2020, 15:23 door Reinder
Nou, dat lijkt me allemaal heel redelijk van deze firma's.
14-02-2020, 15:50 door Anoniem
Da's best snel zeg als je bedenkt waarvoor TLS steeds wordt vernieuwd naar nieuwere versies.
14-02-2020, 15:55 door Robby Swartenbroekx
ik snap dit voor publieke websites, maar dit kan wel eens problemen geven voor het beheren van (oudere) toestellen in een netwerk. Als ik al zelf niet met advanced opties die sites kan openen, kan ik geen updates meer installeren (als ze al uit komen) voor die toestellen (of zelfs gewoon maar beheren).
14-02-2020, 16:10 door Anoniem
Door LordPan: ik snap dit voor publieke websites, maar dit kan wel eens problemen geven voor het beheren van (oudere) toestellen in een netwerk. Als ik al zelf niet met advanced opties die sites kan openen, kan ik geen updates meer installeren (als ze al uit komen) voor die toestellen (of zelfs gewoon maar beheren).

"Volgens Google verloopt nog 0,25 procent van alle webpagina's die Chrome-gebruikers laden via de oudere TLS-versies."

"Vooralsnog zal Firefox worden voorzien van een knop waarmee de blokkade kan worden opgeheven."

Dan kan je twee dingen doen. Of het accepteren, of tijdelijk (als je dit nog niet deed) firefox gebruiken en in die tijd de (oudere) toestellen upgraden of vervangen.
14-02-2020, 17:01 door Briolet
Door Anoniem:
Door LordPan: ik snap dit voor publieke websites, maar dit kan wel eens problemen geven voor het beheren van (oudere) toestellen in een netwerk. …

Dan kan je twee dingen doen. Of het accepteren, of tijdelijk (als je dit nog niet deed) firefox gebruiken en in die tijd de (oudere) toestellen upgraden of vervangen.

Ik vind dat te drastisch. Waarom zou je een http verbinding nog wel toestaan, maar een tls 1.1 verbinding niet. Je kunt die laatste toch gewoon weergeven als een verbinding die gelijkwaardig is met een http verbinding. Dus zoals ze het nu doen.

Bij safari merk ik bij sommige verouderde certificaten ook dat ik wel een https verbinding heb, maar het slotje wordt niet getoond.

Ik zie ook niet waarom ik mijn laserprinter, IP camera, router etc. zou moeten weggooien omdat ik niet meer bij de instellingen kan komen. Bij die verbinding is er geen serieus risico om tls 1.1 te gebruiken. Ik vertouw die 'site's' gewoon.
14-02-2020, 17:28 door Anoniem
Firefox was hen al voor. Sowieso lijkt Firefox het voortouw te hebben genomen qua browserontwikkeling. Ik mag hopen dat dit ook het marktaandeel weer ten goede gaat komen. Er is téveel Chrome/Chromium op het internet. Straks zijn alle webpagina's weer geoptimaliseerd aan één soort browsermotor (Blink) en krijgen we weer dezelfde toestanden als toen IE de grootste was in browserland.

Even een zijdelingse vraag: Waarom is het toch zo moeilijk voor browserbouwers om de W3C-standaard te hanteren? Elke keer dat gezeik dat commerciële bedrijven "de standaard" willen bepalen terwijl er een standaard is. Zwaar gevalletje van "wie betaalt, die bepaalt"?
14-02-2020, 18:00 door Anoniem
Bij Firefox gaat het over default blokkeren van TLS 1.0 en 1.1.
Dat wil niet zeggen dat je met geen enkele mogelijkheid nog op "TLS1.0 / 1.1 -only" sites kan komen.
In geval Firefox een site tegenkomt die alleen met 1.0 en/of 1.1 wil werken, zal Firefox voorlopig een override-optie aanbieden om de TLS1.1 of 1.0 verbinding alsnog te maken. Voor de details zie:
https://hacks.mozilla.org/2020/02/its-the-boot-for-tls-1-0-and-tls-1-1/

Weet iemand of ze bij Google ook iets dergelijks met hun Chrome browser van plan zijn?
14-02-2020, 19:13 door Anoniem
Door Briolet: [
Ik zie ook niet waarom ik mijn laserprinter, IP camera, router etc. zou moeten weggooien omdat ik niet meer bij de instellingen kan komen. Bij die verbinding is er geen serieus risico om tls 1.1 te gebruiken. Ik vertouw die 'site's' gewoon.

Je kunt deze interfaces makkelijk achter een reverse proxy parkeren, of de web interfaces aan een apart management lan hangen, en dan op je bastion een oudere browser installeren. De maatregel is bedoeld om gewone gebruikers veel beter te beschermen, niet de systeembeheerder die andere middelen kan inzetten.
15-02-2020, 11:05 door Anoniem
Door Anoniem:
Door Briolet: [
Ik zie ook niet waarom ik mijn laserprinter, IP camera, router etc. zou moeten weggooien omdat ik niet meer bij de instellingen kan komen. Bij die verbinding is er geen serieus risico om tls 1.1 te gebruiken. Ik vertouw die 'site's' gewoon.

Je kunt deze interfaces makkelijk achter een reverse proxy parkeren, of de web interfaces aan een apart management lan hangen, en dan op je bastion een oudere browser installeren. De maatregel is bedoeld om gewone gebruikers veel beter te beschermen, niet de systeembeheerder die andere middelen kan inzetten.

Denk jij dat een gewone thuisgebruiker die niet meer bij zijn printer, camera, switch of router kan deze "achter een reverse
proxy gaat parkeren"??? Nee, deze gaat ofwel de browser niet meer updaten ofwel hij stopt met https te gebruiken voor
deze toepassingen. Gaat dat de veiligheid verbeteren denk je?

Het is net als met Java. Ik heb nog beheer van een paar wat oudere HP Proliant servers met ILO3. Deze zitten op een
apart, firewalled, netwerk. Ik kan in de praktijk de "console scherm overnemen" functie niet meer gebruiken omdat de
heren van de browserontwikkeling het gebruik van Java plugins verboden hebben, en de heren van HP er voor gekozen
hebben ILO3 niet meer te ontwikkelen richting HTML5 enzo. En straks kan ik deze ILO met Chrome helemaal niet
meer gebruiken want hij doet nog TLS 1.1
Moet ik nu deze prima werkende HP Proliant DL380 G7 servers maar bij het oud vuil mikken omdat de beste jongetjes
van de klas zo nodig alles willen uitfaseren? Of vinden ze dat ik mijn XP laptopje maar moet gebruiken voor dit soort
dingen? Kennelijk.
Gelukkig kun je in Firefox nog uitzonderingen aangeven voor de encryptie problemen, maar hoe lang nog dat is de
vraag.
15-02-2020, 13:25 door Anoniem
Komt wel heel goed uit in het afserveren van bepaalde websites binnen het geprefereerde landschap.
Heeft dat dan ook als gevolg dat bepaalde content minder te zien valt?

Als dat waar is, zit er opnieuw een dubbele Google agenda achter dit besluit.

Wij bepalen wel wat u op internet te zien krijgt en daar werken we uiterst behoedzaam,
maar wel onverdroten naar toe, en dat gaat ons een heleboel, namelijk gigantisch veel, geld opleveren.

J.O.
15-02-2020, 15:23 door Anoniem
Door Anoniem: Bij Firefox gaat het over default blokkeren van TLS 1.0 en 1.1.
Dat wil niet zeggen dat je met geen enkele mogelijkheid nog op "TLS1.0 / 1.1 -only" sites kan komen.
In geval Firefox een site tegenkomt die alleen met 1.0 en/of 1.1 wil werken, zal Firefox voorlopig een override-optie aanbieden om de TLS1.1 of 1.0 verbinding alsnog te maken. Voor de details zie:
https://hacks.mozilla.org/2020/02/its-the-boot-for-tls-1-0-and-tls-1-1/

Weet iemand of ze bij Google ook iets dergelijks met hun Chrome browser van plan zijn?

Volgens https://security.googleblog.com/2018/10/modernizing-transport-security.html krijgt men sinds Chrome 72
al een waarschuwing bij TLS1.0 en TLS1.1 websites, en vanaf Chrome 81 worden ze standaard geblokkeerd.
Maar vermoedelijk is daar nog wel wat aan te doen als het echt moet, nl. door parameter SSLVersionMin te manipuleren. (bij Firefox is dit security.tls.version.min in about:config).

Denk er alleen wel om dat het niet best is gesteld met veiligheid en privacy van deze twee protocollen,
dus probeer te vermijden om het nog langer te gebruiken want je loopt steeds meer risico.
17-02-2020, 11:39 door Anoniem
Wanneer gaan ze TLSv1 en TLSv1.1 nu 'ns eindelijk van hun servers verwijderen.?
17-02-2020, 16:00 door Anoniem
Door Anoniem: Wanneer gaan ze TLSv1 en TLSv1.1 nu 'ns eindelijk van hun servers verwijderen.?
Meestal doen ze dit om toegang te kunnen blijven bieden voor bezoekers die met een oud apparaat werken dat niet meer dan TLS1.0 of 1.1 kent. (de server kan tevens TLS1.2 of hoger gebruiken voor mensen met modernere apparatuur,
mits goed geconfigureerd in de server).

Daarnaast zul je ook "hobby-servers" hebben die geen TLS1.2 of hoger kunnen bieden.
Vaak is hiervoor een nieuw softwarepakket en nieuwe hardware nodig, en dat kost ze teveel.
M.a.w.: men kan niet meer dan roeien met de riemen die men heeft, en als dat een lekke boot is: het zij zo.
En dan is het dus een kwestie van blijven pompen of verzuipen. (met het risico dat er hardnekkige site-bezoekers die de browserwaarschuwingen of default TLS1.x-browserblokkades negeren mee zullen zinken)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.