Após descontinuar os protocolos inseguros nos lançamento recentes, a Apple desativará o TLS inseguro em versões futuras do iOS e macOS.
A Apple descontinuou os protocolos inseguros Transport Layer Security (TLS) 1.0 e 1.1 nas versões iOS e macOS lançadas recentemente e planeja remover o suporte em versões futuras.
Apple desativará o TLS inseguro em versões futuras do iOS e macOS
Sim. A Apple desativará o TLS inseguro em versões futuras do iOS e macOS.
O TLS é um protocolo de comunicação seguro projetado para proteger os usuários de espionagem, adulteração e falsificação de mensagens ao acessar e trocar informações por meio de uma conexão de Internet usando aplicativos cliente/servidor.
A especificação original do TLS 1.0 e seu sucessor do TLS 1.1 foram usados por quase 20 anos (com o TLS 1.0 definido pela primeira vez em 1999 e o TLS 1.1 em 2006).
O Internet Engineering Task Force (IETF) aprovou o TLS 1.3, a próxima versão principal do protocolo TLS, em março de 2018, após quatro anos de discussões e 28 rascunhos de protocolo.
Sobre isso, a Apple disse que:
“Como parte dos esforços contínuos para modernizar plataformas e melhorar a segurança e a confiabilidade, o TLS 1.0 e 1.1 foram preteridos pela Força-Tarefa de Engenharia da Internet (IETF) em 25 de março de 2021.”
“Essas versões foram descontinuadas nas plataformas Apple a partir do iOS 15, iPadOS 15, macOS 12, watchOS 8 e tvOS 15, e o suporte será removido em versões futuras.”
A empresa aconselhou os desenvolvedores cujos aplicativos ainda usam os protocolos TLS legados para começar a planejar uma transição para o TLS 1.2 ou superior em um futuro próximo.
Para aplicativos que usam o recurso de segurança de rede App Transport Security (ATS) em todas as conexões (habilitado por padrão para aplicativos vinculados a iOS 9.0 ou macOS 10.11 SDKs ou posterior), o que exige que todas as conexões sejam protegidas com certificados e criptografias TLS confiáveis, nenhuma ação É necessário.
A Apple recomenda mudar diretamente para o TLS 1.3, pois é um protocolo mais rápido e seguro do que o TLS 1.2, adicionando suporte à versão mais recente do TLS e removendo esses símbolos obsoletos Security.framework dos aplicativos:
Esforço contínuo para evitar protocolos de criptografia de tráfego desatualizados
A atualização da Apple segue um anúncio conjunto da Microsoft, Google, Apple e Mozilla de outubro de 2018, dizendo que as quatro organizações começarão a retirar os protocolos TLS inseguros a partir do primeiro semestre de 2020.
Em agosto de 2020, a Microsoft habilitou o TLS 1.3 por padrão nas compilações mais recentes do Windows 10 Insider, e disse que:
“O TLS 1.3 elimina algoritmos criptográficos obsoletos, aumenta a segurança em relação às versões mais antigas e visa criptografar o máximo possível do handshake.”
Em janeiro, a NSA compartilhou orientações sobre a detecção e substituição de versões desatualizadas do protocolo Transport Layer Security (TLS) por variantes atualizadas e seguras, e disse:
“Configurações obsoletas fornecem aos adversários acesso ao tráfego operacional sensível usando uma variedade de técnicas, como descriptografia passiva e modificação do tráfego por meio de ataques man-in-the-middle.”
“Os invasores podem explorar configurações de protocolo de segurança da camada de transporte (TLS) desatualizadas para obter acesso a dados confidenciais com muito poucas habilidades necessárias.”
