Defaults.Exposed › Ataskaitos
Silpnas ir pasenęs TLS: ar jūsų svetainė vis dar naudoja seną šifravimą? (2026)
Paskelbta 2026-07-01
Skaičiai 2026-06-29 · metodika v7. Suvestiniai surašymo duomenys iš 261 mln. įvertintų domenų; TLS versijų skaičiai rodo domenų, pasiekiamų per HTTPS, dalį. TLS yra protokolas, esantis už spynelės; „silpnas“ reiškia senas versijas ar šifrus, kuriais naršyklės ir auditoriai nebepasitiki. Žr. kaip mes vertiname.
Internetas iš esmės atsisakė seno šifravimo — tačiau stipri spynelė nėra garantuota, o silpniausia grandis šiandien dažniau yra sertifikatas, o ne protokolas. Iš svetainių, pasiekiamų per HTTPS, 90.51% dabar naudoja šiuolaikinį TLS 1.3, o didžioji likusiųjų dalis naudoja TLS 1.2. Taigi silpnos protokolo versijos yra išimtis, o ne taisyklė. Ten, kur „silpnas TLS“ vis dar kandžiojasi, yra subtiliau: serveriai, kurie tyliai vis dar priima senas versijas, silpnus šifrus ir — dažniausiai — sertifikatus, kurie tiesiog sugadinti. Štai kaip sužinoti, ar esate išimtis.
Ką „silpnas TLS“ reiškia 2026 m.
- Pasenusios protokolo versijos. TLS 1.0 ir 1.1 buvo panaikintos 2021 m. Kaip susiderėta versija jos dabar retos — tačiau serveris gali pagal numatytuosius nustatymus naudoti TLS 1.3, bet vis tiek priimti nusileidimą iki 1.0, jei to prašoma, ką auditai pažymi.
- Silpni šifrų rinkiniai. Seni algoritmai (RC4, 3DES, eksporto šifrai) ir tobulo išankstinio slaptumo (forward secrecy) trūkumas susilpnina ryšį net ir naudojant šiuolaikinę versiją.
- Sugadintas sertifikatas. Tai dažniausias atvejis: šifravimo stiprumas ir sertifikato galiojimas yra atskiri dalykai, o galiojantis TLS 1.3 rankos paspaudimas su negaliojančiu sertifikatu vis tiek rodo lankytojams įspėjimą. 8.21% domenų, pateikiančių sertifikatą, pateikia negaliojantį — žr. mano sertifikatas nebegalioja.
Kokia yra tikroji interneto padėtis
Geriausia susiderėta TLS versija, per HTTPS pasiekiamų domenų dalis, 2026-06-29:
| Geriausia TLS versija | Dalis |
|---|---|
| TLS 1.3 (dabartinė) | 90.51% |
| TLS 1.2 (priimtina riba) | 5.38% |
| TLS 1.1 / 1.0 (panaikintos) | 0.00% |
Protokolo požiūriu vaizdas sveikas. Spraga dabar yra kitur: 8.21% sertifikatų yra negaliojantys, o tik 78.02% visų domenų apskritai naudoja HTTPS — taigi penktadalis interneto iš viso net nėra šifruotas.
Kodėl tai vis dar svarbu, nors dauguma svetainių yra tvarkingos
- Atitikties reikalavimai. PCI-DSS, daugelis saugumo klausimynų ir vyriausybinių bazinių reikalavimų reikalauja TLS 1.2+ ir kad senos versijos bei silpni šifrai būtų aktyviai išjungti — o ne tiesiog nenaudojami pagal numatytuosius nustatymus. Žr. ką tikrina klausimynai.
- Nusileidimo pažeidžiamumas. Jei serveris vis dar priima seną versiją, užpuolikas gali bandyti priverstinai nustatyti silpnesnį ryšį, nei norėjo bet kuri pusė.
- Tyli rizika. Silpnas, bet veikiantis TLS ir vis dar priimamas senas šifras retai sukelia naršyklės įspėjimą, todėl jie išlieka tol, kol kas nors aktyviai nepatikrina.
Kaip užtikrinti, kad jūsų TLS būtų stiprus
- Nustatykite minimalią versiją TLS 1.2 ir įjunkite TLS 1.3 serveryje ar CDN — bei patvirtinkite, kad senos versijos yra atmetamos, o ne tiesiog nenaudojamos. Žr. pataisyti TLS.
- Modernizuokite šifrus — teikite pirmenybę rinkiniams su tobulu išankstiniu slaptumu; atsisakykite RC4, 3DES ir eksporto lygio šifrų.
- Užtikrinkite sertifikato galiojimą — dažnesnis gedimas. Žr. pataisyti sertifikato klaidas.
- Priverskite naudoti HTTPS ir pridėkite HSTS, kad nusileidimai iki paprasto HTTP būtų atmetami.
- Iš naujo patikrinkite iš išorės — silpnas TLS naršyklėje nematomas, todėl patvirtinkite išoriniu patikrinimu.
Dažnai užduodami klausimai
Ar mano TLS pasenęs? Tikriausiai ne pagal versiją — 90.51% HTTPS svetainių naudoja TLS 1.3. Labiau tikėtinas silpnumas yra sertifikato problema (8.21% sertifikatų yra negaliojantys) arba serveris, vis dar priimantis senas versijas už šiuolaikinių numatytųjų nustatymų.
Ar TLS 1.2 vis dar tinka? Taip — TLS 1.2 yra priimtina riba, o TLS 1.3 yra pageidautinas. Rūpestį kelia tai, kad vis dar priimama bet kas žemiau 1.2.
Ar išjungus seną TLS bus sutrikdyti senesni lankytojai? Labai nedaugeliui šiuolaikinių klientų reikia TLS 1.0/1.1; suderinamumo kaina dabar yra minimali, palyginti su atitikties ir saugumo nauda.
Ar silpnas TLS rodo naršyklės įspėjimą? Silpnas protokolas ar šifras paprastai to nedaro — jis išryškėja audituose ir skenavimuose. Sugadintas sertifikatas, priešingai, įspėja lankytojus tiesiogiai.
Ar tai ištaisyti nemokama? Taip — tai serverio ar CDN konfigūracijos pakeitimas, o ne pirkinys.
Patikrinkite savo TLS konfigūraciją nemokamai
Peržiūrėkite savo TLS versijas, šifrų stiprumą ir sertifikato būseną — privačiai ir tik savininkui.
Patikrinkite savo domeną → · Pataisyti TLS → · Kodėl mano svetainė rodo „Nesaugu“? → · Kaip mes vertiname → · Tik suvestiniai duomenys. Duomenys saugomi ir apdorojami ES.