Defaults.Exposed › Raporty
Słabe i przestarzałe TLS: czy Twoja witryna nadal używa starego szyfrowania? (2026)
Opublikowano 2026-07-01
Dane na dzień 2026-06-29 · metodologia v7. Zbiorcze dane spisu obejmujące 261 milionów ocenionych domen; wartości dotyczące wersji TLS to udział domen osiągalnych przez HTTPS. TLS to protokół stojący za kłódką; „słabe” oznacza stare wersje lub szyfry, którym przeglądarki i audytorzy już nie ufają. Zobacz jak oceniamy.
Sieć w dużej mierze odeszła od starego szyfrowania — ale mocna kłódka nie jest gwarantowana, a najsłabszym ogniwem jest dziś częściej certyfikat niż protokół. Spośród witryn osiągalnych przez HTTPS 90,51% negocjuje teraz nowoczesny TLS 1.3, a zdecydowana większość pozostałych używa TLS 1.2. Słabe wersje protokołu są więc wyjątkiem, a nie regułą. Tam, gdzie „słabe TLS” wciąż daje o sobie znać, sprawa jest subtelniejsza: serwery, które po cichu nadal akceptują stare wersje, słabe szyfry oraz — najczęściej — certyfikaty, które są po prostu uszkodzone. Oto jak sprawdzić, czy jesteś wyjątkiem.
Co „słabe TLS” oznacza w 2026 roku
- Przestarzałe wersje protokołu. TLS 1.0 i 1.1 zostały wycofane w 2021 roku. Jako negocjowana wersja są dziś rzadkie — ale serwer może domyślnie używać TLS 1.3, jednocześnie wciąż akceptując obniżenie do 1.0 na żądanie, co audyty oznaczają jako problem.
- Słabe zestawy szyfrów. Stare algorytmy (RC4, 3DES, szyfry eksportowe) i brak poufności przekazywania w przód (forward secrecy) osłabiają połączenie nawet w nowoczesnej wersji.
- Uszkodzony certyfikat. To ten najczęstszy przypadek: siła szyfrowania i ważność certyfikatu to dwie odrębne kwestie, a prawidłowe uzgodnienie TLS 1.3 z nieprawidłowym certyfikatem i tak wyświetla odwiedzającym ostrzeżenie. 8,21% domen przedstawiających certyfikat serwuje nieprawidłowy — zobacz mój certyfikat wygasł.
Jak naprawdę wygląda stan sieci
Najlepsza negocjowana wersja TLS, udział domen osiągalnych przez HTTPS, na dzień 2026-06-29:
| Najlepsza wersja TLS | Udział |
|---|---|
| TLS 1.3 (aktualna) | 90,51% |
| TLS 1.2 (akceptowalne minimum) | 5,38% |
| TLS 1.1 / 1.0 (wycofane) | 0,00% |
Pod względem protokołu obraz jest zdrowy. Luka jest teraz gdzie indziej: 8,21% certyfikatów jest nieprawidłowych, a jedynie 78,02% wszystkich domen w ogóle serwuje HTTPS — czyli jedna piąta sieci wciąż w ogóle nie jest szyfrowana.
Dlaczego to nadal ma znaczenie, mimo że większość witryn jest w porządku
- Pozycje w wymaganiach zgodności. PCI-DSS, wiele kwestionariuszy bezpieczeństwa i standardy rządowe wymagają TLS 1.2+ oraz aktywnego wyłączenia starych wersji i słabych szyfrów — a nie jedynie tego, że domyślnie nie są używane. Zobacz co sprawdzają kwestionariusze.
- Podatność na obniżenie wersji (downgrade). Jeśli serwer nadal akceptuje starą wersję, atakujący może próbować wymusić słabsze połączenie, niż chciała którakolwiek ze stron.
- Ukryte ryzyko. Słabe, lecz obecne TLS oraz wciąż akceptowany stary szyfr rzadko wywołują ostrzeżenie przeglądarki, więc przetrwają, dopóki ktoś aktywnie tego nie sprawdzi.
Jak upewnić się, że Twoje TLS jest mocne
- Ustaw minimalną wersję na TLS 1.2 i włącz TLS 1.3 na serwerze lub w CDN — oraz potwierdź, że stare wersje są odrzucane, a nie tylko nieużywane. Zobacz napraw TLS.
- Zmodernizuj szyfry — preferuj zestawy z poufnością przekazywania w przód; usuń RC4, 3DES i szyfry klasy eksportowej.
- Utrzymuj ważność certyfikatu — częstszy powód awarii. Zobacz napraw błędy certyfikatu.
- Wymuś HTTPS i dodaj HSTS, aby obniżenia do zwykłego HTTP były odrzucane.
- Przetestuj ponownie z zewnątrz — słabe TLS jest niewidoczne w przeglądarce, więc potwierdź to za pomocą kontroli zewnętrznej.
Najczęściej zadawane pytania
Czy moje TLS jest przestarzałe? Prawdopodobnie nie pod względem wersji — 90,51% witryn HTTPS używa TLS 1.3. Bardziej prawdopodobną słabością jest problem z certyfikatem (8,21% certyfikatów jest nieprawidłowych) lub serwer nadal akceptujący stare wersje pod nowoczesnym ustawieniem domyślnym.
Czy TLS 1.2 jest nadal w porządku? Tak — TLS 1.2 to akceptowalne minimum, a TLS 1.3 jest preferowany. Problemem jest cokolwiek poniżej 1.2, co nadal jest akceptowane.
Czy wyłączenie starego TLS zablokuje starszych odwiedzających? Bardzo niewielu nowoczesnych klientów potrzebuje TLS 1.0/1.1; koszt zgodności jest dziś minimalny wobec korzyści w zakresie zgodności z wymaganiami i bezpieczeństwa.
Czy słabe TLS wyświetla ostrzeżenie przeglądarki? Słaby protokół lub szyfr zwykle nie — ujawnia się w audytach i skanach. Uszkodzony certyfikat natomiast ostrzega odwiedzających bezpośrednio.
Czy naprawa jest darmowa? Tak — to zmiana konfiguracji serwera lub CDN, a nie zakup.
Sprawdź konfigurację TLS za darmo
Zobacz swoje wersje TLS, siłę szyfrów i status certyfikatu — prywatnie i wyłącznie dla właściciela.
Sprawdź swoją domenę → · Napraw TLS → · Dlaczego moja witryna wyświetla „Niezabezpieczona”? → · Jak oceniamy → · Wyłącznie dane zbiorcze. Dane przechowywane i przetwarzane w UE.