Windows disattiva il supporto per il protocollo TLS 1.0 e 1.1: cosa significa

Il protocollo TLS, acronimo di Transport Layer Security, è utilizzato nelle applicazioni che fanno uso della crittografia al fine garantire la riservatezza e l’integrità delle comunicazioni su Internet. TLS è il successore del protocollo SSL (Secure Sockets Layer) ed è ampiamente utilizzato per proteggere le transazioni online, come l’invio di dati sensibili attraverso siti Web, email e altre applicazioni che richiedono una connessione sicura tra un client (ad esempio un browser) e un server.

Nel caso dell’email abbiamo visto le differenze tra SSL, TLS e StartTLS ma uno degli utilizzi più comuni per il protocollo TLS, come accennato in precedenza, ha a che fare con la messa in sicurezza delle comunicazioni tra client e server durante la consultazione delle pagine Web protette con HTTPS.

SSL Server Test è una verifica sviluppata da Qualys che consente di verificare la sicurezza degli scambi di dati tra client e server (e viceversa) sui siti che usano il protocollo HTTPS. Sì, perché implementazioni scorrette dei vari protocolli crittografici possono esporre ad attacchi e rendere le informazioni accessibili o modificabili da parte di aggressori terzi.

TLS: quante versioni ci sono

TLS 1.0, ovvero la prima versione del protocollo, risale al 1999. Nel corso degli anni diverse debolezze riscontrate nel protocollo e nelle sue implementazioni, hanno indotto ad applicare una serie di migliorie con TLS 1.1 pubblicata nel 2006. TLS 1.2 è arrivato nel 2008 mentre TLS 1.3 nel 2018.

La progressiva scoperta di alcune vulnerabilità di sicurezza ha indotto ad accantonare le versioni più vecchie di TLS nel corso degli ultimi anni. Il test di Qualys citato in precedenza, raccoglie tutte queste indicazioni e, ad esempio, suggerisce di non implementare più – sui server Web – versioni di TLS antecedenti la release 1.2.

Scopi e benefici del protocollo

Il protocollo TLS si occupa di crittografare i dati tra client e server (e viceversa), rendendo estremamente difficile per gli attaccanti intercettare, decifrare, modificare o danneggiare queste informazioni. I cosiddetti man-in-the-middle, aggressioni in cui l’attaccante cerca di intercettare e manipolare le comunicazioni tra il client e il server, sono così messi al tappeto.

Il sistema consente inoltre, sia al client che al server, di autenticarsi reciprocamente dimostrando la propria identità. Questa caratteristica aiuta a prevenire gli attacchi phishing in cui un utente potrebbe essere indotto a comunicare con un server fraudolento.

Ampiamente supportato dai sistemi operativi e da tutta una serie di software, TLS è universalmente accettato offrendo una modalità standard per stabilire comunicazioni sicure.

Windows abbandona TLS: ecco perché

Abbiamo detto in precedenza che le versioni precedenti di TLS e SSL sono state abbandonate a causa di vulnerabilità di sicurezza note che le rendevano obsolete e insicure. Ad esempio, le vulnerabilità conosciute con gli appellativi di POODLE e BEAST hanno indotto ad accantonare SSL 2.0 e SSL 3.0, rispettivamente, nel 2011 e nel 2015.

TLS 1.0 e TLS 1.1 hanno imboccato il viale del tramonto nel 2020 a causa di vulnerabilità come la già citata BEAST e CRIME (Compression Ratio Info-leak Made Easy).

Ad oggi, TLS 1.2 e TLS 1.3 restano le versioni più aggiornate del protocollo, con l’ultima che offre miglioramenti significativi in termini di sicurezza e prestazioni rispetto a TLS 1.2. TLS 1.3 è stato progettato per eliminare alcune funzionalità obsolete e introdurne alcune nuove come il supporto per la crittografia a chiave pubblica ellittica (Elliptic Curve Cryptography, ECC) e il supporto per la connessione Zero Round-Trip Time.

Per aumentare il livello di sicurezza di Windows e incoraggiare l’adozione dei protocolli moderni, Microsoft ha annunciato che le versioni TLS 1.0 e 1.1 saranno presto disabilitate per impostazione predefinita.

I tecnici dell’azienda di Redmond hanno spiegato che la novità entra subito a far parte della Windows 11 Insider Preview di settembre 2023 ma che interesserà soltanto le future versioni di Windows. Sembra che Windows 10 e versioni precedenti non saranno in ogni caso toccate dalla disattivazione di TLS 1.0 e TLS 1.1 mentre non è chiaro se le prossime versioni stabili di Windows 11 avranno il supporto per i due protocolli disattivato per impostazione predefinita.

Certamente TLS 1.0 e TLS 1.1 risulteranno disabilitati per default sia in Windows 12 che nelle prossime release di Windows Server.

Come riattivare le vecchie versioni del protocollo in caso di problemi

La disattivazione delle versioni più datate del protocollo può impattare negativamente su tutte quelle realtà che usano applicazioni legacy, non aggiornate agli standard più recenti. È già accaduto in passato che con la disattivazione di certi protocolli si manifestassero problemi di funzionamento con alcuni software più vecchi. È bene quindi sapere dove intervenire, in futuro, nel caso in cui si avesse la necessità di riabilitare il supporto TLS 1.0 e 1.1 nelle varie versioni di Windows.

Nel caso in cui si volesse procedere con la temporanea riattivazione, anche per motivi di debug, è sufficiente digitare cmd nella casella di ricerca, selezionare Esegui come amministratore quindi digitare ciò che segue:

reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client" /v Enabled /t REG_DWORD /d 1 /f

reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server" /v Enabled /t REG_DWORD /d 1 /f

Nel caso della release 1.1, è ovviamente sufficiente sostituire 1.0 con 1.1 in entrambe le istruzioni impartite al prompt dei comandi.

Credit immagine in apertura: iStock.com/Just_Super