Defaults.Exposed › Отчёты
Слабый и устаревший TLS: не раздаёт ли ваш сайт старое шифрование? (2026)
Опубликовано 2026-07-01
Данные по состоянию на 2026-06-29 · методология v7. Сводные данные переписи по 261 миллионам оценённых доменов; показатели версий TLS — это доля доменов, доступных по HTTPS. TLS — это протокол, стоящий за значком замка́; «слабый» означает старые версии или шифры, которым браузеры и аудиторы больше не доверяют. См. как мы выставляем оценки.
Веб в основном ушёл от старого шифрования — но надёжный замок не гарантирован, а слабым звеном сегодня чаще оказывается не протокол, а сертификат. Из сайтов, доступных по HTTPS, 90,51% теперь согласуют современный TLS 1.3, а подавляющее большинство остальных используют TLS 1.2. Так что слабые версии протокола — исключение, а не правило. Там, где «слабый TLS» всё ещё кусается, всё тоньше: серверы, которые по-прежнему втихую принимают старые версии, слабые шифры и — чаще всего — сертификаты, которые попросту неисправны. Вот как понять, не являетесь ли вы исключением.
Что означает «слабый TLS» в 2026 году
- Устаревшие версии протокола. TLS 1.0 и 1.1 были объявлены устаревшими в 2021 году. В качестве согласуемой версии они теперь редки — но сервер может по умолчанию использовать TLS 1.3, при этом принимая понижение до 1.0 по запросу, что отмечается аудитами.
- Слабые наборы шифров. Старые алгоритмы (RC4, 3DES, экспортные шифры) и отсутствие прямой секретности ослабляют соединение даже на современной версии.
- Неисправный сертификат. Это самое распространённое: стойкость шифрования и действительность сертификата — вещи разные, и корректное рукопожатие TLS 1.3 с недействительным сертификатом всё равно покажет посетителям предупреждение. 8,21% доменов, предъявляющих сертификат, раздают недействительный — см. срок действия моего сертификата истёк.
Каково реальное положение дел в вебе
Лучшая согласованная версия TLS, доля доменов, доступных по HTTPS, по состоянию на 2026-06-29:
| Лучшая версия TLS | Доля |
|---|---|
| TLS 1.3 (актуальная) | 90,51% |
| TLS 1.2 (приемлемый минимум) | 5,38% |
| TLS 1.1 / 1.0 (устаревшие) | 0,00% |
С точки зрения протокола картина здоровая. Пробел теперь в другом месте: 8,21% сертификатов недействительны, и лишь 78,02% всех доменов вообще раздают HTTPS — то есть пятая часть веба до сих пор в принципе не зашифрована.
Почему это по-прежнему важно, хотя большинство сайтов в порядке
- Пункты требований соответствия. PCI-DSS, многие анкеты по безопасности и государственные базовые требования требуют TLS 1.2+ и чтобы старые версии и слабые шифры были активно отключены — а не просто не использовались по умолчанию. См. что проверяют анкеты.
- Уязвимость к понижению. Если сервер всё ещё принимает старую версию, атакующий может попытаться навязать соединение слабее, чем хотела любая из сторон.
- Скрытый риск. Слабый, но присутствующий TLS и всё ещё принимаемый старый шифр редко вызывают предупреждение браузера, поэтому они сохраняются, пока кто-нибудь активно не проверит.
Как убедиться, что ваш TLS надёжен
- Установите минимальную версию TLS 1.2 и включите TLS 1.3 на сервере или CDN — и убедитесь, что старые версии отклоняются, а не просто не используются. См. исправить TLS.
- Модернизируйте шифры — отдавайте предпочтение наборам с прямой секретностью; откажитесь от RC4, 3DES и шифров экспортного класса.
- Поддерживайте действительность сертификата — более распространённый сбой. См. исправить ошибки сертификата.
- Принудительно включите HTTPS и добавьте HSTS, чтобы понижение до обычного HTTP отклонялось.
- Проверьте снаружи — слабый TLS невидим в браузере, поэтому подтвердите это внешней проверкой.
Часто задаваемые вопросы
Устарел ли мой TLS? Скорее всего, не по версии — 90,51% HTTPS-сайтов используют TLS 1.3. Более вероятная слабость — проблема с сертификатом (8,21% сертификатов недействительны) или сервер, всё ещё принимающий старые версии за современной настройкой по умолчанию.
TLS 1.2 всё ещё нормально? Да — TLS 1.2 является приемлемым минимумом, а TLS 1.3 предпочтителен. Опасение вызывает всё, что ниже 1.2 и всё ещё принимается.
Не сломает ли отключение старого TLS доступ для более старых посетителей? Очень немногим современным клиентам нужен TLS 1.0/1.1; издержки совместимости теперь минимальны по сравнению с выгодой для соответствия требованиям и безопасности.
Показывает ли слабый TLS предупреждение браузера? Слабый протокол или шифр обычно нет — это проявляется в аудитах и сканированиях. А вот неисправный сертификат предупреждает посетителей напрямую.
Бесплатно ли это исправить? Да — это изменение конфигурации сервера или CDN, а не покупка.
Проверьте конфигурацию TLS бесплатно
Посмотрите свои версии TLS, стойкость шифров и статус сертификата — конфиденциально и только для владельца.
Проверить свой домен → · Исправить TLS → · Почему мой сайт пишет «Не защищено»? → · Как мы выставляем оценки → · Только сводные данные. Данные хранятся и обрабатываются в ЕС.