IETF ประกาศ TLS 1.0/1.1 หมดอายุในเอกสาร RFC8996

หัวข้อกระทู้ ใน 'เทคโนโลยี' เริ่มโพสต์โดย iPokz, 28 มีนาคม 2021.

  1. iPokz

    iPokz ~" iPokz "~ Staff Member

    IETF ผู้วางมาตรฐานอินเทอร์เน็ต ออกเอกสาร RFC8996 ให้มาตรฐาน TLS 1.0/1.1 รวมถึง DTLS 1.0 หมดอายุการใช้งาน (deprecated) อย่างเป็นทางการ หลังจากมีรายงานถึงการโจมตีกระบวนการเข้ารหัสของ TLS ทั้งสองเวอร์ชั่นได้หลายครั้ง

    ช่องโหว่ของ TLS 1.0 เช่น กระบวนการเข้ารหัสแบบ cipher block chaining (CBC) อาจถูกโจมตี แม้จะแก้ไขไปแล้วแต่ทั้ง TLS 1.0/1.1 ก็ยังรองรับการแฮชแบบ SHA-1 ที่ตอนนี้เหลือระดับความยุ่งเหยิงเพียง 77 บิต เปิดทางให้คนร้ายสามารถสร้างข้อความปลอมที่แฮชตรงกันได้

    TLS 1.0 นั้นออกมาตรฐานมาตั้งแต่ปี 1999 ส่วน TLS 1.1 ออกมาในปี 2006 นับว่าถูกใช้งานมายาวนานมากแล้ว และเดิมมาตรฐานใหม่ๆ หลายตัวก็แนะนำให้ผู้อิมพลีเมนต์อย่ารองรับโปรโตคอลเก่าทั้งสองตัวนี้ แต่จากนี้จะอัพเดตมาตรฐานให้ห้ามรองรับโปรโตคอลทั้งสองตัว

    ที่มา - IETF

    [​IMG]

    Topics: IETFSecurity
     

แบ่งปันหน้านี้