Hemos visto recientemente que Firefox, por ejemplo, ha vuelto a habilitar TLS 1.0 y 1.1. La idea general, lo que tenían en mente la mayoría de los principales navegadores, era quitar la compatibilidad con ambos estándares que se consideran obsoletos. Sin embargo algunos ya han aplazado esa decisión al menos unos meses. Hoy nos hacemos eco de una noticia que indica que Microsoft tampoco tiene prisa por acabar con TLS 1.0 y 1.1.
Microsoft alarga la vida de TLS 1.0 y 1.1
Microsoft ahora se une a otras organizaciones y también ha anunciado que va a retrasar la desactivación de los protocolos TLS 1.0 y 1.1 en sus navegadores. También tenía previsto quitar la compatibilidad, ya que como mencionamos se consideran protocolos obsoletos. Sin embargo las circunstancias le han hecho cambiar de opinión.
De momento ha anunciado que alarga la compatibilidad con los protocolos TLS 1.0 y 1.1 hasta la segunda mitad de 2020. Esto significa que al menos hasta julio de este año podremos acceder a páginas web que sigan usando TLS 1.0 y 1.1, aunque indican que la fecha estimada para desactivarlo completamente será el 8 de septiembre.
Hay que mencionar que esto afecta tanto a Internet Explorer como a Microsoft Edge en todas sus versiones compatibles. Si bien es cierto que no son los navegadores más utilizados hoy en día, sí es verdad que son utilizados por muchas organizaciones que tienen que acceder todavía a sitios que no están adaptados a los nuevos protocolos TLS.
Desde Microsoft indican que incluso cuando deshabiliten TLS 1.0 y 1.1 de forma predeterminada los usuarios podrán habilitarlos manualmente. Sin embargo recuerdan que la recomendación es llevar una transición a los protocolos más modernos, los cuales llevan criptografía más avanzada y por tanto van a proteger más la navegación de los usuarios.
La mayoría de sitios utilizan TLS 1.2 o superior
Según un informe realizado por Qualys SSL Labs, un 97% de los sitios web tienen en la actualidad soporte para TLS 1.2 o 1.3. Esto significa que son muy pocos los casos en los que una página web únicamente funciona bajo TLS 1.0 o 1.1. Sin embargo en ese 3% de casos en muchas ocasiones son páginas gubernamentales y de la administración pública. Sitios que son importantes para llevar a cabo diferentes acciones ciudadanas. Es interesante desactivar protocolos obsoletos.
Esto, principalmente en el contexto en el que nos encontramos, ha empujado a algunos navegadores a retrasar el adiós a la compatibilidad con TLS 1.0 y 1.1.
De hecho si nos centramos en los datos que publican tanto Microsoft como Google, ese % es aún mucho menor. En el primer caso, Microsoft ha indicado que los sitios web que se han abierto en su navegador con soporte únicamente de TLS 1.0 o 1.1 representa apenas un 0,72%. Por su parte Google ha anunciado que solo un 0,5% de todos los sitios consultados tienen soporte solo para TLS 1.0 o 1.1. Firefox sí ha dado cifras más altas con un 1,2%.
En definitiva, Microsoft también se une a la lista de organizaciones que va a alargar un poco más la vida útil de TLS 1.0 o 1.1.
Os dejamos un artículo con los mejores navegadores para la Dark Web.