Categories
程式開發

Firefox 74 發布:是時候和 TLS 1.0 / 1.1 協議說再見了


3月10日,Mozilla 發布了 Firefox 74 版本更新。 Firefox 74 做了一些安全優化以及增加了一些新功能。值得一提的是,Firefox 74 將禁用基於 TLS 1.0 和 TSL 1.1 協議的網站。這將是首個禁止訪問使用 TLS 1.0 和 TLS 1.1 的 HTTPS 網站的瀏覽器版本。

更新與優化

Firefox 74 的具體更新有:

  • 在 Lockwise 中加入反轉字母排序功能(由Z到A),改進了登陸管理;
  • 從 Windows 和 Mac 上新版本的 Microsoft Edge 瀏覽器中將書籤和歷史記錄導入到 Firefox 將會更加簡單;
  • 可以使用附加組件管理器刪除來自外部應用程序安裝的附加組件;
  • 阻止 Facebook 對網絡的跟踪行為,如果用戶需要的話可以自行創建;
  • Firefox現在通過在某些WebRTC方案中使用隨機ID掩蓋計算機的IP地址,從而通過支持mDNS ICE為用戶的Web語音和視頻通話提供更高的安全性。

同時對一些功能進行了優化:

  • 瀏覽多張照片與視頻的 Instagram 時,“下一頁”按鈕修改到了更便於操作的位置;
  • 在 Windows 版本中新增了快捷鍵,用戶可以使用 Ctrl + I 來打開“頁面信息”窗口,而不用再通過“書籤”側邊欄操作;
  • 禁用 TLS 1.0 和 TLS 1.1 協議的網站,提高安全性。

TLS 1.0 和 TLS 1.1

什麼是TLS? 1986年8月,美國國家安全局,國家標準局,國防通信局以及十二個通信和計算機部門通過了一項聯合倡議,開發傳輸層安全協議,也就是TLS,用來保護服務器和Web瀏覽器之間的所有通信。

Netscape開發了原始的SSL協議,也就是TLS的前身。由於 SLL 1.0 具有重大漏洞,所以並未發布,於1995年發布了SSL 2.0 版本,又於1996年發布 SSL 3.0 版本,不過 SSL 2.0 和 3.0 分別在2011年和2015年被棄用。 TLS 1.0 發佈於1999年,被定義為SSL 3.0 的升級版,而TSL 1.1 發佈於2006年,在多個方面都有著重大升級,後續又於2008年和2018年發布了TLS 1.2 和1.3 兩個版本。

直到2018年10月,arstechnica發布了一篇新聞,文中表示,四大瀏覽器公司Mozilla,Google,Apple和Microsoft聯合宣布將於2020年初棄用 TLS 1.0 和 1.1 兩個版本,這樣使沒有切換到 TLS 1.2 的站點可以有時間切換。

是時候和 TLS 1.0 和 1.1 說再見了

有網友在更新到 Firefox 74 後,嘗試訪問仍使用 TLS 1.0 和 TLS 1.1 協議的網址,結果在加載頁面時會出現錯誤消息:

Firefox 74 發布:是時候和 TLS 1.0 / 1.1 協議說再見了 1

不止是Firefox,四大瀏覽器都在去年就開始針對於TLS 1.0 和TLS 1.1 的網站做了標示,在URL 地址欄顯示“不安全”的標識,而Chrome 也將在即將發布的Chrome 81 版本中禁用TLS 1.0 和TLS 1.1 這兩個老舊的協議版本,而Microsoft Edge 和Safari 也將會於最近禁用這兩個老舊的協議版本。

英國技術公司 Netcraft 發布的一份報告中提到,目前仍有超過85萬個網站仍在使用過時的 TLS 1.0 和 TLS 1.1 協議,主要包括銀行、政府、新聞以及電信公司。 Netcraft的研究人員表示,取消對舊協議的支持是為了確保其漏洞不會給瀏覽器和用戶帶來安全問題和風險。

官網地址:

https://www.mozilla.org/en-US/firefox/74.0/releasenotes/