Protocollo TLS 1.0/1.1 sarà abbandonato entro il 2020 dai maggiori browser

16/10/2018

Le prime versioni 1.0/1.1 del protocollo TLS smetteranno di ricevere supporto dai principali browser entro il 2020

Il 2020 è la data che i più noti browser (Firefox, Chrome, Edge, Safari) si sono imposti come scadenza per la cessione del supporto (quindi dell'utilizzo) del protocollo TLS (Transport Layer Security) per quanto riguarda le prime versioni, che sono la 1.0 e la 1.1.

Le versioni più recenti, cioè la 1.2 e la 1.3, saranno ancora supportate.

Questo avviene perchè le release 1.0 (che è vecchia di circa 20 anni) e 1.1 (circa 12 anni) hanno delle vulnerabilità critiche di sicurezza.

Si raccomanda quindi a tutti gli utilizzatori dei protocolli TLS di assicurarsi di installare almeno la versione 1.2, che al momento è la più utilizzata. È importante quindi verificare che il proprio sito HTTPS sia aggiornato per non rischiare di essere penalizzati in futuro dai vari browser.

Di base noi installiamo nei nostri siti il protocollo HTTPS almeno alla versione TLS 1.2.

Che cos'è il protocollo TLS?

Il TLS è il successore dell'SSL che sono entrambi dei protocolli di sicurezza, utilizzati in vari ambiti informatici come i siti web, lo scambio di email, la comunicazione tramite VoIP (Voice Over IP), le chat e altri sistemi di messaggistica e altro ancora.

Prendiamo ad esempio un sito web che utilizza HTTPS con TLS 1.2, che ormai è quasi uno standard: Il sito installa un Certificato (con firma digitale) che viene rilasciato da una CA (Certification Authority) e quindi il sito diventa navigabile tramite HTTPS invece che solo tramite HTTP. Perchè viene installato un certificato di sicurezza? La ragione è semplice: non vogliamo che il nostro sito risulti poco affidabile e soprattutto vogliamo proteggere al massimo le informazioni scambiate con gli utenti del nostro sito, ad esempio nel caso di acquisti online, che sono una delle operazioni più delicate.
Con il certificato HTTPS possiamo impedire che un altro sito si finga il nostro (ad esempio in caso di phishing), anche perchè un utente potrebbe cliccare sul lucchetto verde per vedere se il certificato è valido e se appartiene realmente a quel sito.
È utile anche per proteggersi da attacchi MitM (Man in the Middle) anche se non sufficiente.
Ci sono poi dei casi di attacchi DNS Hijack (molto più complessi da effettuare ma allo stesso tempo molto più efficaci del Phishing) che possono ancora trarre in inganno i nostri utenti, ma grazie al certificato HTTPS possiamo quantomeno dare garanzie maggiori rispetto a un sito HTTP non sicuro.