.
A Microsoft lembrou aos usuários que em breve o TLS 1.0 e 1.1 serão desabilitados por padrão no Windows.
Embora seja improvável que os usuários domésticos do Windows percebam muitos problemas, a Microsoft avisou que águas agitadas podem estar à frente dos administradores empresariais. Isto Publicados uma lista não exaustiva de aplicativos que “esperava-se que fossem quebrados”.
No topo da lista está o SQL Server. As edições de 2014 e 2016 ambas permanecem em suporte pode exigir atualizações. SQL Server 2012, que está atualmente em Atualizações de segurança estendidastambém está na lista.
O SQL Server 2008 R2 finalmente saiu das Atualizações de Segurança Estendidas em julho, embora a Microsoft tenha publicado instruções para adicionar suporte ao TLS 1.2.
A lista de aplicativos que a Microsoft espera que sejam quebrados também inclui a versão 5.1.7 do navegador Safari da Apple para Windows e, sem um pingo de ironia, vários aplicativos de segurança.
Como Registro os leitores sabem, Transport Layer Security (TLS) é um protocolo para criptografar comunicações entre um cliente e um servidor e remonta ao século passado. O padrão atual, utilizado desde 2018, é o TLS 1.3. O TLS 1.2 foi publicado em 2008 e ambos representam melhorias significativas em relação aos seus antecessores.
O desejo da Microsoft de dispensar versões obsoletas do TLS foi bem documentado. No entanto, a exigência de manter a compatibilidade com versões anteriores impediu a empresa de desligar a tecnologia até agora.
A gigante do software de Redmond disse: “Temos monitorado o uso do protocolo TLS há vários anos e acreditamos que os dados de uso do TLS 1.0 e TLS 1.1 são baixos o suficiente para agir”.
Embora a empresa possa agir nas próximas semanas e meses – o Windows Insiders será o primeiro a ter o TLS 1.0 e 1.1 desabilitado por padrão a partir de setembro, seguido por futuros lançamentos do Windows – a opção de reativar os protocolos permanecerá.
No entanto, não será uma tarefa simples para os administradores que usam aquele aplicativo antigo que simplesmente deve usar os padrões obsoletos. A Microsoft alertou que seria necessária uma configuração de registro para substituir o padrão do sistema.
A empresa trovejou: “A reativação do TLS 1.0 ou TLS 1.1 em máquinas só deve ser feita como último recurso e como uma solução temporária até que aplicativos incompatíveis possam ser atualizados ou substituídos. O suporte para essas versões herdadas do TLS pode ser completamente removido no futuro .”
Eliminar versões obsoletas do TLS tem sido uma meta da indústria há vários anos; a Agência de Segurança Nacional dos EUA (NSA) Publicados orientação sobre como eliminar a tecnologia em 2021 e três anos antes, Apple, Microsoft, Google e Mozilla anunciado planeja abandonar os protocolos desatualizados.
O progresso da Microsoft mudou aos trancos e barrancos desde então. Inicialmente, havia planejado desabilitar o TLS 1.0 e 1.1 por padrão no Edge e no Internet Explorer 11 no primeiro semestre de 2020, mas mudou isso de volta para 2021. Em seguida, definiu 20 de setembro de 2022 como a data para Internet Explorer e EdgeHTML. Os protocolos foram desabilitados por padrão no Chromium Edge a partir da versão 84.
Um ano depois, a empresa está se preparando para desabilitar por padrão os protocolos de seu principal sistema operacional. ®
.
