in

Microsoft mantém protocolos TLS inseguros!

Com mais de 20 anos de existência algumas versões do TLS são inseguras e a Microsoft optou por não desativar agora!

microsoft-mantem-protocolos-tls-inseguros

O TLS já completa mais de 20 anos de existência, e no decorrer do tempo muitas versões do protocolo foram lançadas. Mas, mesmo diante da maioridade do TLS 1.0 e 1.1, a Microsoft optou por não desativar as versões antigas do protocolo agora.

Segundo a empresa, mesmo sabendo que o protocolo é inseguro e obsoleto, as versões serão mantidas até o começo do segundo semestre. A Microsoft relatou que muitos sites, inclusive governamentais, ainda usam versões antigas.

No entanto, segundo o Cloudflare um dos serviços de segurança na web mais utilizado no mundo, as versões já são poucas utilizadas. Apenas para conhecimento, a versão TLS 1.0 completou 21 anos e a versão TLS 1.1 completou 14.

Algumas empresas gigantes como a Apple já seguiu o caminho contrário, a empresa desativou o suporte à essas versões. No entanto, a empresa já dizia que iria desativar essas versões muito antigas em outubro de 2018, havia emitido uma aviso que iria adotar a medida em março ou abril de 2020.

TLS (Transport Layer Security) é um dos protocolos mais seguros para transmissão segura de dados na internet, ele usa uma combinação de algoritmos de criptografia. Desta forma, o protocolo é comumente usado por aplicativos como os mensageiros instantâneos, clientes de e-mails, navegadores e muitos outros aplicativos seguros e modernos que utilizam a internet para transmissão de dados.

O mais hilário é que mesmo no navegador da Microsoft Edge baseado no Chromium, a empresa ainda sustenta essas versões do TLS velhas. Ainda segundo as declarações, na versão Edge Original a empresa disse que usa seu próprio mecanismo EdgeHTML, e que tanto neste último quanto no Internet Explorer clássico, a empresa só vai desativar o TLS 1.0 e 1.1 a partir de 8 de setembro de 2020.

Mas, para aqueles que ainda precisam do protocolo, a Microsoft relata que as versões 1.0 e 1.1 do TLS nunca serão realmente desativadas. Assim, a empresa vai manter os dois protocolos desativados, mas quem precisar poderá ativá-los nas configurações dos navegadores da empresa.

Assim, e até o momento, empresa como Mozilla, Apple e Google já desativaram ou estão prestes a fazer isso. A Apple e Mozilla já desativaram o suporte ao TLS 1.0 e 1.1 no iOS 13.4 e macOS 10.15.4, Mozilla 74.

Desta forma, o Google deve seguir o mesmo caminho. Atualmente as versões utilizadas e ativadas do TLS são as 1.2 e 1.3. Ao redor do mundo, muitos desenvolvedores e webmasters comentam que quase ninguém usa mais as versões anteriores ao 1.2.