SSL Labs Grade Change for TLS 1.0 and TLS 1.1 Protocols

Update 1/31/2020: The grade change is now live on www.ssllabs.com. Servers that support TLS 1.0 or TLS 1.1 are capped to B grade.

Update 1/16/2020: The grade change is now live on the development server at dev.ssllabs.com. Servers that support TLS 1.0 or TLS 1.1 are capped to B grade on the development server. Deployment to production SSL Labs servers is planned for the very end of January.

Update 10/11/19: The TLS 1.0/1.1 warning changes are now live on www.ssllabs.com. The grade change for supporting TLS 1.0/1.1 is changed from March 2020 to January 2020 as shown below in the “SSL Labs Grade Change” section below and as reflected in the summary messages in SSL Labs results.

Update 11/30/18: Now live on ssllabs.com: In Configuration->Protocols section “TLS 1.1” text color will be changed to Orange by end of November 2018.

TLS 1.0 and TLS 1.1 protocols will be removed from browsers at the beginning of 2020. As there are no fixes or patches that can adequately fix SSL or deprecated TLS, it is critically important that organizations upgrade to a secure alternative as soon as possible.

Various Browser clients have provided approximate deadlines for disabling TLS 1.0 and TLS 1.1 protocol:

Browser Name Date
Microsoft IE and Edge First half of 2020
Mozilla Firefox March 2020
Safari/Webkit March 2020
Google Chrome January 2020

 

 

Best practices outlined in RFC-7525 give reasons why it is discouraged to use protocol TLS 1.0 and TLS 1.1. PCI-DSS recommends users to switch from protocol TLS 1.0 and adopt protocol TLS 1.2+.

Following table shows for each browser the percentage of connections made to SSL/TLS servers using protocol TLS 1.0 and TLS 1.1:

Browser/Client Name Percentage (%) – Both TLS 1.1 and TLS 1.0
Microsoft IE and Edge 0.72%
Mozilla Firefox 1.2%
Safari/Webkit 0.36%
Google Chrome 0.5%
SSL Pulse November 2018 5.84%

 

SSL Labs Grade Change

To encourage users to migrate to protocol TLS 1.2+ and remove protocol TLS 1.1 and TLS 1.0 from servers, SSL Labs will lower the grade for SSL/TLS servers which use TLS 1.1 and TLS 1.0.

TLS 1.0 Grade change date:

  • A warning will be displayed for downgrading to grade “B” by end of September 2019
  • Grade will be changed to “B” by end of March 2020 January 2020

TLS 1.1 Grade change date:

  • In Configuration->Protocols section “TLS 1.1” text color will be changed to Orange by end of November 2018
  • A warning will be displayed for downgrading to grade “B” by end of September 2019
  • Grade will be changed to “B” by end of March 2020 January 2020

Existing Grades Sample

Server Configuration Grade
TLS 1.2, TLS 1.1, TLS 1.0 + HSTS + No Warning + TLS_FALLBACK_SCSV A+
TLS 1.2, TLS 1.1, TLS 1.0 + HSTS + No Warning +  No support for TLS_FALLBACK_SCSV A
TLS 1.2, TLS 1.1, TLS 1.0 + HSTS + Warnings + No support for TLS_FALLBACK_SCSV A-

 

Future Grades Sample

Server Configuration Grade
TLS 1.2, TLS 1.1, TLS 1.0 + HSTS + No Warning + TLS_FALLBACK_SCSV B
TLS 1.2, TLS 1.1, TLS 1.0 + HSTS + No Warning +  No support for TLS_FALLBACK_SCSV B
TLS 1.2, TLS 1.1, TLS 1.0 + HSTS + Warnings + No support for TLS_FALLBACK_SCSV B
TLS 1.2 + HSTS + No Warning + TLS_FALLBACK_SCSV A+
TLS 1.2 + HSTS + No Warning + No support for TLS_FALLBACK_SCSV A
TLS 1.2 + HSTS + Warnings + No support for TLS_FALLBACK_SCSV A-

 

References

 

SSL Labs 对 TLS 1.0 和 TLS 1.1 协议的等级变更

2020 年 1 月 31 日更新:等级更改现已在 www.ssllabs.com 上进行。支持 TLS 1.0 或 TLS 1.1 的服务器上限为 B 级。

2020 年 1 月 16 日更新:等级更改现已在 dev.ssllabs.com 的开发服务器上生效。支持 TLS 1.0 或 TLS 1.1 的服务器在开发服务器上的上限为 B 级。计划在 1 月底部署到生产 SSL Labs 服务器。

2019 年 11 月 10 日更新:TLS 1.0/1.1 警告更改现已在 www.ssllabs.com 上发布。支持 TLS 1.0/1.1 的等级更改从 2020 年 3 月更改为 2020 年 1 月,如下面的“SSL 实验室等级更改”部分所示,并反映在 SSL 实验室结果中的摘要消息中。

2018 年 11 月 30 日更新:现在在 ssllabs.com 上直播:在 Configuration->Protocols 部分中,“TLS 1.1”文本颜色将在 2018 年 11 月底更改为橙色。

TLS 1.0 和 TLS 1.1 协议将于 2020 年初从浏览器中删除。由于没有可以充分修复 SSL 或弃用 TLS 的修复程序或补丁,因此组织尽快升级到安全替代方案至关重要。

各种浏览器客户端提供了禁用 TLS 1.0 和 TLS 1.1 协议的大致截止日期:

浏览器名称
日期
微软 IE 和 Edge
2020年上半年
火狐浏览器
2020 年 3 月
Safari/Webkit
2020 年 3 月
谷歌浏览器
2020 年 1 月

 

 

 

RFC-7525 中概述的最佳实践给出了不鼓励使用协议 TLS 1.0 和 TLS 1.1 的原因。 PCI-DSS 建议用户从协议 TLS 1.0 切换到协议 TLS 1.2+。

下表显示了每个浏览器使用协议 TLS 1.0 和 TLS 1.1 连接到 SSL/TLS 服务器的百分比:

浏览器/客户端名称
百分比 (%) – TLS 1.1 和 TLS 1.0
微软 IE 和 Edge
0.72%
火狐浏览器
1.2%
Safari/Webkit
0.36%
谷歌浏览器
0.5%
SSL Pulse 2018 年 11 月
5.84%

 

SSL 实验室等级变化

为了鼓励用户迁移到协议 TLS 1.2+ 并从服务器中删除协议 TLS 1.1 和 TLS 1.0,SSL Labs 将降低使用 TLS 1.1 和 TLS 1.0 的 SSL/TLS 服务器的等级。

TLS 1.0 等级更改日期:

到 2019 年 9 月将显示降级为“B”级的警告
到 2020 年 3 月下旬,成绩将更改为“B” 2020 年 1 月

TLS 1.1 等级更改日期:

在 Configuration->Protocols 部分,“TLS 1.1”文本颜色将在 2018 年 11 月末更改为橙色
到 2019 年 9 月将显示降级为“B”级的警告
到 2020 年 3 月下旬,成绩将更改为“B” 2020 年 1 月
现有成绩样本
服务器配置
年级
TLS 1.2、TLS 1.1、TLS 1.0 + HSTS + 无警告 + TLS_FALLBACK_SCSV
A+
TLS 1.2、TLS 1.1、TLS 1.0 + HSTS + 无警告 + 不支持 TLS_FALLBACK_SCSV
一种
TLS 1.2、TLS 1.1、TLS 1.0 + HSTS + 警告 + 不支持 TLS_FALLBACK_SCSV
一种-

 

未来成绩样本
服务器配置
年级
TLS 1.2、TLS 1.1、TLS 1.0 + HSTS + 无警告 + TLS_FALLBACK_SCSV

TLS 1.2、TLS 1.1、TLS 1.0 + HSTS + 无警告 + 不支持 TLS_FALLBACK_SCSV

TLS 1.2、TLS 1.1、TLS 1.0 + HSTS + 警告 + 不支持 TLS_FALLBACK_SCSV

TLS 1.2 + HSTS + 无警告 + TLS_FALLBACK_SCSV
A+
TLS 1.2 + HSTS + 无警告 + 不支持 TLS_FALLBACK_SCSV
一种
TLS 1.2 + HSTS + 警告 + 不支持 TLS_FALLBACK_SCSV
一种-

 

参考
在 Microsoft Edge 和 Internet Explorer 11 中现代化 TLS 连接:https://blogs.windows.com/msedgedev/2018/10/15/modernizing-tls-edge-ie11/

删除旧版本的 TLS:https://blog.mozilla.org/security/2018/10/15/removing-old-versions-of-tls/

弃用旧版 TLS 1.0 和 1.1 版本:https://webkit.org/blog/8462/deprecation-of-legacy-tls-1-0-and-1-1-versions/

现代化传输安全:https://security.googleblog.com/2018/10/modernizing-transport-security.html

安全使用传输层安全性 (TLS) 和数据报传输层安全性 (DTLS) 的建议:https://tools.ietf.org/html/rfc7525

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注