|
|
Здравствуйте. Периодически проверяю свой SSL сертификат (Let’s Encrypt) вот тут https://www.ssllabs.com/ssltest/analyze.html. Ранее оценка была А+. Сейчас В. Причина описана тут https://blog.qualys.com/ssllabs/2018/11/19/grade-change-for-tls-1-0-and-tls-1-1-protocols
На сколько важно, на данный момент, поддержка TLS 1.0 и 1.1? Когда Вы планируете от них отказаться?
|
|
|
Правда, у такой "конторки" как https://www.google.com/ тоже оценка B. И тоже по той же причине. )))
|
|
|
Со временем поддержку TLS 1.0 и 1.1 уберем, но не прямо сейчас. Еще не настолько они плохие, чтобы ломать совместимость со старыми http клиентами.
Эти версии не поддерживают самые новые шифры, но не считаются "небезопасными" (иначе оценка была бы F в ssllabs). В RFC 7525 с best practice по этой теме, на который ссылаются ssllabs, *рекомендуется* их не использовать ("SHOULD NOT negotiate"), но не запрещается их использование.
Процент запросов, которые поступают к нам с использованием TLS 1.0/1.1 очень небольшой, но все же суммарно получается миллионы запросов в сутки. И если TLS 1.0 убрать, эти клиенты не смогут больше получить доступ к сайтам, потому что раз уж они используют 1.0, то значит более свежие версии просто не поддерживают.
|
|
|
Спасибо за ответ.
"Процент запросов, которые поступают к нам с использованием TLS 1.0/1.1 очень небольшой, но все же суммарно получается миллионы запросов в сутки." - согласен, это объективная причина.
|
|
|
TSL 1.0 это скорее всего боты всяких говносервисов или парсеры, так что не велика потеря
|
|
|
Я проверил несколько сайтов: https://www.google.com, https://www.icbc.com.cn/icbc/sy/ Промышленный и коммерческий банк Китая (один из крупнейших банков в мире), https://www.symantec.com/. У них у всех есть поддержка старых протоколов. Наверное, это не просто так.
|
