Firefox, Chrome, Edge, Internet Explorer e Safari stanno eliminando il supporto per le versioni precedenti del protocollo di sicurezza online TLS, utilizzato praticamente in qualsiasi scambio crittografato online. Sebbene poche persone o macchine utilizzino ancora i poco sicuri protocolli TLS 1.0 e 1.1, questi sono ancora permessi in molte connessioni, ma non per molto.

Il Transport Layer Security è uno standard sviluppato dalla community che ha ottenuto la sua versione 1.0 circa 20 anni fa. Questo e il suo parente stretto, 1.1, hanno mostrato nel tempo dei difetti che li rendono non sicuri da usare per qualsiasi comunicazione. La versione 1.2 ha affrontato questi gravi difetti nel 2008 ed è attualmente utilizzato dalla stragrande maggioranza dei client. La 1.3, rilasciata all'inizio di quest'anno, migliora e ottimizza lo standard, ma finora ha una presenza limitata online, poiché molti server e servizi non sono stati aggiornati per supportarla.

Mozilla, Google, Microsoft e WebKit hanno fatto annunci separati ma simili sui loro blog, comunicando essenzialmente che le versioni precedenti, 1.0 e 1.1, saranno eliminate gradualmente entro il marzo 2020.

"È impensabile che una tecnologia di sicurezza rimanga inalterata per due decenni", ha scritto Kyle Pflug di Microsoft. "Sebbene non siamo a conoscenza di vulnerabilità significative con le nostre implementazioni aggiornate di TLS 1.0 e TLS 1.1, esistono implementazioni vulnerabili di terze parti. Passare a versioni più recenti aiuta a garantire un Web più sicuro per tutti."

Come utente non sarà necessario fare nulla. I browser e le app che utilizziamo funzioneranno esattamente come prima: è probabile che utilizzino tutti già 1.2. Mozilla ha condiviso un grafico che mostra che solo una piccola parte di connessioni che ancora utilizzano le versioni precedenti.

Queste connessioni, basse in proporzione ma comunque numerose, potrebbero essere molte cose: vecchie app per le quali lo stack di sicurezza non è stato aggiornato da anni, dispositivi hackerati o poco altro. Quasi certamente, però, non si tratta dei nostri dispositivi domestici.

Le tempistiche così lunghe derivano dalla possibilità (anzi, inevitabilità) che ci siano alcuni sistemi critici (ad esempio nell'invecchiamento delle infrastrutture municipali) che cesserebbero di funzionare a causa di questo cambiamento. Queste piattaforme software avranno bisogno di tempo per fare un vero aggiornamento di sistema, anche se probabilmente lo avrebbero dovuto fare anni fa.

Questa mossa dovrebbe comunque rendere tutti un po' più sicuri online, anche se tutto, in apparenza, continuerà a sembrare esattamente come prima.

16 ottobre 2018