Microsoft по умолчанию отключит TLS 1.0 и 1.1 в Edge и Internet Explorer

Олег Иванов 16 Октября 2018 - 10:21

...

Microsoft по умолчанию отключит TLS 1.0 и 1.1 в Edge и Internet Explorer

Корпорация Microsoft объявила, что в браузерах Edge и Internet Explorer 11 будут отключены старые версии протокола Transport Layer Security (TLS). Ожидается, что изменения вступят в силу в 2020 году. В своем блоге техногигант заверяет, что этот шаг поможет обеспечить пользователей более безопасным веб-серфингом.

Владельцам сайтов, которые все еще полагаются на TLS 1.0 и 1.1 за это время рекомендуется перейти на более современные версии протокола. О чем Microsoft пишет в своем официальном сообщении.

Учитывая, что TLS 1.0 уже почти 20 лет от роду, неудивительно, что его считают абсолютно и бесповоротно устаревшим. Последующие версии обладают гораздо лучшими характеристиками.

Согласно отчетам SSL Labs, 94 % веб-сайтов поддерживают TLS 1.2. А по данным, которые собрала сама Microsoft, менее одного процента соединений браузера Edge проходят с использованием TLS 1.0 или 1.1.

Напомним, что в марте Инженерный совет Интернета (Internet Engineering Task Force, IETF), открытое международное сообщество проектировщиков, учёных, сетевых операторов и провайдеров, созданное IAB в 1986 году и занимающееся развитием протоколов и архитектуры Интернета, официально одобрило TLS 1.3 в качестве следующей основной версии протокола защиты транспортного уровня (Transport Layer Security, TLS).

Такое решение было принято после четырех лет обсуждений и 28 драфтов протокола, причем именно 28-й вариант будет выбран в качестве окончательной версии. Теперь ожидается, что TLS 1.3 станет стандартным методом зашифрованной связи между клиентом и сервером.

Новая версия протокола имеет несколько преимуществ по сравнению с предыдущей версией -TLS 1.2. Самый очевидный плюс заключается в том, что TLS 1.3 избавляется от старых алгоритмов шифрования и хеширования (например, MD5 и SHA-224) в пользу более защищенных альтернатив: ChaCha20, Poly1305, Ed25519, x25519 и x448.

Следующая главная новость »

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Яков Шпунт 21 Января 2026 - 11:03

Фишинг Мошенничество Онлайн-мошенничество Домашние пользователи Angara Security

Злоумышленники освоили новую технику кражи данных с Госуслуг

Злоумышленники освоили новую схему «угона» учётных записей на портале «Госуслуги». Для этого они используют телеграм-ботов, маскирующихся под реферальные программы известных маркетплейсов. Ссылки на такие «партнёрские сервисы» распространяются через мессенджеры и социальные сети.

О новой атаке сообщило РИА Новости со ссылкой на компанию Angara Security. По данным экспертов, для кражи учётных данных «Госуслуг» злоумышленники задействуют телеграм-ботов, которые якобы автоматизируют работу с реферальными программами торговых площадок.

Такие боты предлагают пользователям поучаствовать в «партнёрских программах» популярных маркетплейсов — с обещаниями заработка, бонусов или уведомлений об акциях. В названиях и описаниях используются слова ref, referral, service, упоминания реальных брендов, а также ссылки на настоящие сайты торговых площадок.

Для участия в программе бот требует пройти авторизацию через «Госуслуги», утверждая, что только так можно получить доступ ко всем функциям. При этом открывается встроенное мини-приложение, которое с высокой точностью копирует страницу входа на портал.

Адрес страницы не отображается, поэтому пользователь не может проверить её подлинность. Введённые логин и пароль сразу же попадают к злоумышленникам, что позволяет им перехватить доступ к аккаунту.

«Это технически проработанная фишинговая атака, использующая особенности интерфейса Telegram. Мини-приложение практически идеально имитирует официальный сервис, а отсутствие адресной строки лишает пользователя основного способа проверить подлинность страницы. Получив доступ к учётной записи „Госуслуг“, злоумышленники могут совершать мошеннические действия от имени гражданина — в том числе пытаться оформить кредиты или получить доступ к связанным сервисам», — предупреждает руководитель группы киберразведки Angara MTDR Иван Захаров.

В Angara Security рекомендуют не вводить персональные и иные конфиденциальные данные на страницах, ссылки на которые получены из непроверенных источников — в том числе из сообщений от незнакомых пользователей.

На прошлой неделе компания уже предупреждала о похожей схеме. В том случае злоумышленники действовали от имени региональных властей и организаций, работающих в сфере ЖКХ.

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »