IETF ประกาศ TLS 1.0/1.1 หมดอายุในเอกสาร RFC8996

IETF ผู้วางมาตรฐานอินเทอร์เน็ต ออกเอกสาร RFC8996 ให้มาตรฐาน TLS 1.0/1.1 รวมถึง DTLS 1.0 หมดอายุการใช้งาน (deprecated) อย่างเป็นทางการ หลังจากมีรายงานถึงการโจมตีกระบวนการเข้ารหัสของ TLS ทั้งสองเวอร์ชั่นได้หลายครั้ง

ช่องโหว่ของ TLS 1.0 เช่น กระบวนการเข้ารหัสแบบ cipher block chaining (CBC) อาจถูกโจมตี แม้จะแก้ไขไปแล้วแต่ทั้ง TLS 1.0/1.1 ก็ยังรองรับการแฮชแบบ SHA-1 ที่ตอนนี้เหลือระดับความยุ่งเหยิงเพียง 77 บิต เปิดทางให้คนร้ายสามารถสร้างข้อความปลอมที่แฮชตรงกันได้

TLS 1.0 นั้นออกมาตรฐานมาตั้งแต่ปี 1999 ส่วน TLS 1.1 ออกมาในปี 2006 นับว่าถูกใช้งานมายาวนานมากแล้ว และเดิมมาตรฐานใหม่ๆ หลายตัวก็แนะนำให้ผู้อิมพลีเมนต์อย่ารองรับโปรโตคอลเก่าทั้งสองตัวนี้ แต่จากนี้จะอัพเดตมาตรฐานให้ห้ามรองรับโปรโตคอลทั้งสองตัว

ที่มา – IETF