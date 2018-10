Luca Colantuoni,

Con una decisione “sincronizzata”, i principali produttori di browser hanno deciso di abbandonare il supporto per le vecchie versioni del protocollo TLS (Transport Layer Security). Analogamente a Microsoft, Apple e Google, Mozilla ha comunicato che il supporto per TLS 1.0 e 1.1 verrà eliminato da Firefox a partire da marzo 2020.

La versione 1.0 di Transport Layer Security, successore di SSL (Secure Sockets Layer), è stata pubblicata nel 1999, quasi 20 anni fa. La versione 1.1, introdotta nel 2006, aggiunge solo una protezione contro specifiche tipologie di attacchi, per cui Mozilla ha deciso di abbandonarli entrambi, dando seguito ai suggerimenti della Internet Engineering Task Force (IETF). Al momento non si segnalano falle di sicurezza che richiedono un immediato intervento. Tuttavia TLS 1.0 e 1.1 non sono più adatti per proteggere le comunicazioni tra browser e server, in quanto non supportano i moderni algoritmi crittografici.

Secondo i dati telemetrici, TLS 1.0 e 1.1 sono utilizzati solo per l’1,11% e lo 0,09% delle connessioni. La maggioranza dei siti (93,2%) supporta TLS 1.2, introdotto del 2008 e prerequisito di HTTP/2. Mozilla non ha specificato la versione di Firefox a partire dalla quale verrà eliminato il supporto per TLS 1.0 e 1.1. Per adesso è noto solo il mese (marzo 2020). I cambiamenti avverranno in maniera graduale nelle varie versioni del browser (Nightly, Developer, Beta e Stable). Le date esatte verranno comunicate in seguito.

A metà agosto sono state pubblicate le specifiche di TLS 1.3 con differenze notevoli rispetto alle versioni precedenti sia in termini di sicurezza che di prestazioni. Il supporto per TLS 1.3 è stato aggiunto in Firefox 60 rilasciato a maggio 2018. La nuova versione del protocollo è supportata anche da Chrome 70.