Defaults.Exposed › Poročila
Šibek in zastarel TLS: ali vaše spletno mesto še vedno strežje staro šifriranje? (2026)
Objavljeno 2026-07-01
Podatki na dan 2026-06-29 · metodologija v7. Zbirni podatki popisa med 261 milijoni ocenjenih domen; podatki o različicah TLS predstavljajo delež domen, dosegljivih prek HTTPS. TLS je protokol za ključavnico; »šibek« pomeni stare različice ali šifre, ki jim brskalniki in revizorji ne zaupajo več. Glejte kako ocenjujemo.
Splet se je večinoma poslovil od starega šifriranja — a močna ključavnica ni zagotovljena, in šibki člen je danes pogosteje potrdilo kot protokol. Med mesti, dosegljivimi prek HTTPS, jih 90.51 % zdaj vzpostavi povezavo prek sodobnega TLS 1.3, velika večina preostalih pa uporablja TLS 1.2. Šibke različice protokola so torej izjema, ne pravilo. Kjer »šibek TLS« še vedno pušča posledice, je bolj prikrito: strežniki, ki tiho še vedno sprejemajo stare različice, šibke šifre in — najpogosteje — potrdila, ki so preprosto pokvarjena. Tukaj je, kako ugotoviti, ali ste izjema.
Kaj pomeni »šibek TLS« v letu 2026
- Zastarele različice protokola. TLS 1.0 in 1.1 sta bila leta 2021 opuščena. Kot vzpostavljena različica sta zdaj redka — vendar lahko strežnik privzeto uporablja TLS 1.3, hkrati pa še vedno sprejema prehod na 1.0, če se to zahteva, kar revizije označijo.
- Šibki nabori šifer. Stari algoritmi (RC4, 3DES, izvozne šifre) in manjkajoča »forward secrecy« oslabijo povezavo tudi pri sodobni različici.
- Pokvarjeno potrdilo. To je najpogostejši primer: moč šifriranja in veljavnost potrdila sta ločeni, in veljavno rokovanje TLS 1.3 z neveljavnim potrdilom obiskovalcem še vedno prikaže opozorilo. 8.21 % domen, ki predstavijo potrdilo, strežje neveljavno — glejte moje potrdilo je poteklo.
Kje splet dejansko stoji
Najboljša vzpostavljena različica TLS, delež domen, dosegljivih prek HTTPS, na dan 2026-06-29:
| Najboljša različica TLS | Delež |
|---|---|
| TLS 1.3 (trenutna) | 90.51 % |
| TLS 1.2 (sprejemljiv prag) | 5.38 % |
| TLS 1.1 / 1.0 (opuščena) | 0.00 % |
Glede protokola je slika zdrava. Vrzel je zdaj drugje: 8.21 % potrdil je neveljavnih, in le 78.02 % vseh domen sploh strežje HTTPS — torej petina spleta sploh ni šifrirana.
Zakaj je to še vedno pomembno, čeprav je večina mest v redu
- Postavke skladnosti. PCI-DSS, mnogi varnostni vprašalniki in vladne izhodiščne zahteve zahtevajo TLS 1.2+ in da so stare različice ter šibke šifre dejavno onemogočene — ne le privzeto neuporabljene. Glejte kaj preverjajo vprašalniki.
- Izpostavljenost prehodu na slabšo različico. Če strežnik še vedno sprejema staro različico, lahko napadalec poskusi vsiliti šibkejšo povezavo, kot sta jo želeli obe strani.
- Tiho tveganje. Šibek, a prisoten TLS in še vedno sprejeta stara šifra redko sprožita opozorilo brskalnika, zato preživijo, dokler ju kdo dejavno ne preveri.
Kako zagotoviti, da je vaš TLS močan
- Nastavite najnižjo različico na TLS 1.2 in omogočite TLS 1.3 na strežniku ali CDN — ter potrdite, da so stare različice zavrnjene, ne le neuporabljene. Glejte popravite TLS.
- Posodobite šifre — dajte prednost naborom s »forward secrecy«; opustite RC4, 3DES in šifre izvozne stopnje.
- Ohranjajte potrdilo veljavno — pogostejša napaka. Glejte popravite napake potrdila.
- Vsilite HTTPS in dodajte HSTS, da so prehodi na navadni HTTP zavrnjeni.
- Ponovno preverite od zunaj — šibek TLS je v brskalniku neviden, zato potrdite z zunanjim preverjanjem.
Pogosta vprašanja
Ali je moj TLS zastarel? Po različici verjetno ne — 90.51 % mest s HTTPS uporablja TLS 1.3. Verjetnejša šibkost je težava s potrdilom (8.21 % potrdil je neveljavnih) ali strežnik, ki še vedno sprejema stare različice za sodobno privzeto nastavitvijo.
Ali je TLS 1.2 še vedno v redu? Da — TLS 1.2 je sprejemljiv prag, TLS 1.3 pa je zaželen. Skrb vzbuja, če se še vedno sprejema karkoli pod 1.2.
Ali bo onemogočanje starega TLS pokvarilo delovanje starejšim obiskovalcem? Zelo malo sodobnih odjemalcev potrebuje TLS 1.0/1.1; strošek združljivosti je zdaj zanemarljiv v primerjavi s koristjo za skladnost in varnost.
Ali šibek TLS prikaže opozorilo brskalnika? Šibek protokol ali šifra običajno ne — pojavi se pri revizijah in pregledih. Pokvarjeno potrdilo pa obiskovalce neposredno opozori.
Ali je odprava brezplačna? Da — gre za spremembo konfiguracije strežnika ali CDN, ne za nakup.
Brezplačno preverite svojo konfiguracijo TLS
Oglejte si svoje različice TLS, moč šifer in stanje potrdila — zasebno in vidno samo lastniku.
Preverite svojo domeno → · Popravite TLS → · Zakaj moje spletno mesto pravi »Ni varno«? → · Kako ocenjujemo → · Samo zbirni podatki. Podatki shranjeni in obdelani v EU.