微软、苹果、Google及Mozilla四大浏览器业者将在2020年终止支援TLS1.0、1.1

周一微软、苹果、 Google及Mozilla四大厂商分别宣布将在2020年终止对网页加密验证协定TLS (Transport Layer Security) 1.0及1.1版的支援。

微软旗下的Internet Explorer (IE)及Microsoft Edge会在2020年上半预设关闭TLS1.0及1.1。其中最早版本的TLS 1.0，到明年1月19日就届满20年。微软Edge资深计划经理Kyle Pflug指出，对一个安全技术而言，20年没有修改是太久了。虽然微软对TLS 1.0及1.1版的实作没有发现到什么重大漏洞，但有漏洞的第三方实作的确存在，进阶到更新的版本有助于确保大家的安全。

此外，负责开发互联网标准的IETF（Internet Engineering Task Force）九月公布TLS1.0和1.1版的退场草案，今年内可望将正式宣布，届时IETF也将不再处理这些版本中的协定漏洞。TLS 1.3版则是已于今年三月通过。

Google工程师David Benjamin表示，旧版TLS使用MD5和SHA-1，两者目前都已被破解，而且多所漏洞。TLS 1.0也已无法符合PCI-DSS（PCI Data Security Standard）认证的要求。此外，TLS 1.2要求HTTP/2，也更能加快网站速度。

Google将在 Chrome 72版开始TLS 1.0及1.1的除役，使用TLS 1.0和1.1的网站到时会在Chrome 72的DevTools中看到除役警告，并在Chrome 81完全关闭。使用测试版的用户从2020年一月就会受到影响。

Firefox的早期版本（包括Beta、Developer版及Nightly）在2020年3月之前就会开始启动TLS 1.0和1.1版的除役。而苹果iOS和macOS中的Safari则将从2020年3月起移除对旧版TLS的完整支援。

对IE、Edge、Chrome、Safari及Firefox而言，目前皆建议网站采用TLS 1.2，而网页连线也以TLS 1.2为主，目前TLS 1.0在1.1版的连线流量对各浏览器比例皆极低，仅占Edge和Google的0.72%及0.5%，Safari的0.36%，以及Firefox Beta 62的1.2%。

Firefox及Chrome已支援TLS 1.3，Edge和Safari则正在开发中。