Ban op onveilig TLS teruggedraaid vanwege coronacrisis

TLS 1.0 en 1.1 zijn door Firefox in de ban gedaan volgens een lang geleden aangekondigde planning. Dit is gebeurd met ingang van versie 74, die eerder deze maand is uitgebracht. Voor beveiligde verbindingen met websites zou dan voortaan TLS 1.2 en 1.3 vereist zijn. Bezoek aan websites die nog 1.1 (uit 2006) of zelfs 1.0 (uit 1999) gebruiken, geeft gebruikers dan een foutmelding. Firefox-maker Mozilla komt hier nu echter op terug, vanwege de wereldwijde coronapandemie.

Achterlopende overheid

"We hebben de verandering ongedaan gemaakt voor een onbepaalde tijd om beter toegang mogelijk te maken tot kritieke overheidssites die COVID19-informatie delen", aldus Mozilla in de release notes voor Firefox 74. De opensourcestichting noemt hierbij geen namen van sites of overheden die hun belangrijke informatie nog 'beschermen' met de verouderde TLS-versies.

De oorspronkelijke 1.0-release is in 2011 gekraakt, middels de BEAST-aanval waardoor later nog beperkende maatregelen zijn getroffen door browsermakers Google, Microsoft, Apple en Mozilla. Verder is TLS ook vatbaar voor aanvallen als POODLE waarmee het toegepaste beveiligingsniveau wordt 'teruggeschakeld' naar een lager, kraakbaar niveau. TLS 1.0 en 1.1 worden algemeen beschouwd als zijnde niet langer veilig. Desondanks gebruiken veel sites die onveilige oudere versies nog altijd.

Chrome op pauze

Google heeft ook enige tijd terug al een ban aangekondigd op TLS 1.0 en 1.1 in zijn marktdominante browser Chrome. Sinds versie 79 (van januari dit jaar) krijgen gebruikers een beveiligingswaarschuwing bij bezoek aan sites die nog TLS 1.0 of 1.1 gebruiken. Met de komst van Chrome 81 deze maand zou een blokkade in moeten gaan, maar die release is vanwege de coronacrisis uitgesteld. Alle aankomende releases voor browser Chrome, en het daarop gebaseerde besturingssysteem Chrome OS, staan op pauze. Beveiligingsupdates voor kwetsbaarheden zijn hier natuurlijk van uitgezonderd.