Defaults.Exposed › Aruanded
Nõrk ja aegunud TLS: kas teie sait pakub endiselt vana krüpteeringut? (2026)
Avaldatud 2026-07-01
Näitajad seisuga 2026-06-29 · metoodika v7. Koondloendusandmed 261 miljoni hinnatud domeeni kohta; TLS-versiooni näitajad tähistavad HTTPS-i kaudu kättesaadavate domeenide osakaalu. TLS on tabaluku taga olev protokoll; „nõrk“ tähendab vanu versioone või šifreid, mida brauserid ja audiitorid enam ei usalda. Vaata kuidas me hindame.
Veeb on vanast krüpteeringust suuresti edasi liikunud — kuid tugev tabalukk pole tagatud ning tänapäeval on nõrk lüli sagedamini sertifikaat kui protokoll. HTTPS-i kaudu kättesaadavatest saitidest kasutab 90.51% nüüd kaasaegset TLS 1.3-t ja valdav osa ülejäänutest kasutab TLS 1.2-t. Nõrgad protokolliversioonid on seega erand, mitte reegel. Kohas, kus „nõrk TLS“ endiselt hammustab, on asi peenem: serverid, mis vaikselt endiselt aktsepteerivad vanu versioone, nõrgad šifrid ja — kõige sagedamini — sertifikaadid, mis on lihtsalt katki. Siin on, kuidas aru saada, kas te olete erand.
Mida „nõrk TLS“ 2026. aastal tähendab
- Pärandprotokolli versioonid. TLS 1.0 ja 1.1 tunnistati aegunuks 2021. aastal. Läbiräägitava versioonina on need nüüd haruldased — kuid server võib vaikimisi kasutada TLS 1.3-t, samas aktsepteerides soovi korral allaviimist versioonile 1.0, mille auditid tuvastavad.
- Nõrgad šifrikomplektid. Vanad algoritmid (RC4, 3DES, ekspordišifrid) ja puuduv edasisaladus (forward secrecy) nõrgendavad ühendust isegi kaasaegses versioonis.
- Katkine sertifikaat. See on levinud probleem: krüpteeringu tugevus ja sertifikaadi kehtivus on eraldi asjad ning kehtiv TLS 1.3 käepigistus kehtetu sertifikaadiga näitab külastajatele siiski hoiatust. 8.21% sertifikaati esitavatest domeenidest pakub kehtetut — vaata mu sertifikaat aegus.
Kus veeb tegelikult seisab
Parim läbiräägitud TLS-versioon, HTTPS-i kaudu kättesaadavate domeenide osakaal, seisuga 2026-06-29:
| Parim TLS-versioon | Osakaal |
|---|---|
| TLS 1.3 (praegune) | 90.51% |
| TLS 1.2 (vastuvõetav alampiir) | 5.38% |
| TLS 1.1 / 1.0 (aegunud) | 0.00% |
Protokolli poolest on pilt tervislik. Lõhe on nüüd mujal: 8.21% sertifikaatidest on kehtetud ja vaid 78.02% kõigist domeenidest pakub üldse HTTPS-i — seega viiendik veebist pole esmalt üldse krüpteeritud.
Miks see loeb ka siis, kui enamik saite on korras
- Vastavusnõuete punktid. PCI-DSS, paljud turvaküsimustikud ja valitsuse baastasemed nõuavad TLS 1.2+ ja seda, et vanad versioonid ja nõrgad šifrid oleksid aktiivselt keelatud — mitte lihtsalt vaikimisi kasutamata. Vaata mida küsimustikud kontrollivad.
- Allaviimise oht. Kui server endiselt aktsepteerib vana versiooni, võib ründaja proovida sundida nõrgemat ühendust, kui kumbki pool soovis.
- Vaikne risk. Nõrk-kuid-olemasolev TLS ja endiselt aktsepteeritud vana šifer käivitavad harva brauseri hoiatuse, seega püsivad need seni, kuni keegi aktiivselt kontrollib.
Kuidas veenduda, et teie TLS on tugev
- Määra miinimumversioon TLS 1.2-le ja luba TLS 1.3 serveris või CDN-is — ning kinnita, et vanad versioonid on tagasi lükatud, mitte lihtsalt kasutamata. Vaata paranda TLS.
- Uuenda šifreid — eelista edasisaladusega komplekte; loobu RC4-st, 3DES-ist ja ekspordiklassi šifritest.
- Hoia sertifikaat kehtivana — sagedasem tõrge. Vaata paranda sertifikaadivead.
- Sunni HTTPS ja lisa HSTS, et allaviimine tavalisele HTTP-le lükataks tagasi.
- Testi uuesti väljastpoolt — nõrk TLS on brauseris nähtamatu, seega kinnita väliskontrolliga.
Korduma kippuvad küsimused
Kas mu TLS on aegunud? Versiooni poolest tõenäoliselt mitte — 90.51% HTTPS-saitidest kasutab TLS 1.3-t. Tõenäolisem nõrkus on sertifikaadiprobleem (8.21% sertifikaatidest on kehtetud) või server, mis endiselt aktsepteerib vanu versioone kaasaegse vaikeseade taga.
Kas TLS 1.2 on endiselt korras? Jah — TLS 1.2 on vastuvõetav alampiir ja TLS 1.3 on eelistatud. Mureks on igasugune allpool 1.2 versioon, mida endiselt aktsepteeritakse.
Kas vana TLS-i keelamine rikub vanemate külastajate jaoks midagi? Väga vähesed kaasaegsed kliendid vajavad TLS 1.0/1.1-t; ühilduvuse hind on nüüd vastavusnõuete ja turvalisuse kasu kõrval minimaalne.
Kas nõrk TLS näitab brauseri hoiatust? Nõrk protokoll või šifer tavaliselt ei näita — see tuleb esile audititel ja skannimistel. Katkine sertifikaat seevastu hoiatab külastajaid otse.
Kas selle parandamine on tasuta? Jah — see on serveri või CDN-i seadistuse muudatus, mitte ost.
Kontrolli oma TLS-i seadistust tasuta
Vaata oma TLS-versioone, šifrite tugevust ja sertifikaadi olekut — privaatselt ja ainult omanikule.
Kontrolli oma domeeni → · Paranda TLS → · Miks mu veebisait ütleb „Pole turvaline“? → · Kuidas me hindame → · Ainult koondandmed. Andmed salvestatakse ja töödeldakse EL-is.