编辑更新：太平洋时间 6 月 24 日上午 11:40 - 我们将在 Firefox 78 中默认情况下禁用 TLS 1.0 和 TLS 1.1，该版本将于 6 月 30 日发布。如果您看到下面帖子中显示的“安全连接失败”消息，请点击按钮重新启用 TLS 1.0 和 TLS 1.1。您只需要点击一次此按钮，更改将是全局性的。

早期更新：太平洋时间 3 月 23 日上午 10:43 - 我们已在 Firefox 74 和 75 Beta 中重新启用 TLS 1.0 和 1.1，以更好地支持在此期间访问共享关键和重要信息的网站。

即将在您附近的 Firefox 中推出

传输层安全 (TLS) 协议 是建立 Web 安全的事实标准。该协议拥有悠久而丰富多彩的历史，从 1990 年代初期的 Secure Sockets Layer (SSL) 协议开始，一直到最近发布的更具活力（更快速、更安全）的 TLS 1.3。对新协议版本的需要源于改进效率和弥补早期版本（特别是 TLS 1.0 和 TLS 1.1）中存在的缺陷和弱点，例如 BEAST、CRIME 和 POODLE 攻击。

由于对更新、更强大的密码原语和密码套件的支持有限，TLS 1.0 和 TLS 1.1 的前景不容乐观。有了 TLS 1.2 和 TLS 1.3 这样的更安全协议，我们可以充分保护 Web 流量，因此是时候将 TLS 生态系统带入一个新时代，即默认情况下不支持弱 TLS 版本的时代。这是浏览器供应商普遍的态度 - Mozilla、Google、Apple 和 Microsoft 已承诺默认情况下禁用 TLS 1.0 和 TLS 1.1，作为安全连接选项。换句话说，浏览器客户端将尝试使用 TLS 1.2 或更高版本建立连接。有关此决定的更多理由，请参阅我们之前发布的有关此主题的 博客文章。

这在 Firefox 中是什么样的？

我们在 2019 年底的 Firefox Nightly（我们的浏览器实验版本）中部署了这一功能。现在，它也适用于 Firefox Beta 73。在 Firefox 中，这意味着默认情况下允许的最低 TLS 版本为 TLS 1.2。这是通过在代码中设置 security.tls.version.min=3 来实现的，这是一个表示支持的最低 TLS 版本的首选项。之前，此值为 1。如果您连接到支持 TLS 1.2 及更高版本的网站，您不应该注意到由 TLS 版本不匹配导致的任何连接错误。

如果网站只支持较低版本的 TLS 怎么办？

在只支持较低版本 TLS 的情况下，即无法协商更安全的 TLS 1.2 和 TLS 1.3 版本时，我们允许通过覆盖按钮回退到 TLS 1.0 或 TLS 1.1。作为 Firefox 用户，如果您遇到这种情况，您将看到以下内容

作为用户，您必须主动启动此覆盖。但是，覆盖按钮为您提供了选择。当然，您可以选择不连接到不提供最佳安全性的网站。

这对网站运营商来说并不理想。我们希望鼓励运营商升级其服务器，以便为用户提供 Web 上的安全体验。我们在一年前（2018 年 10 月）宣布了有关 TLS 1.0 和 TLS 1.1 弃用的计划，现在是做出这一改变的时候了。让我们共同努力推动 TLS 生态系统向前发展。

弃用时间线

我们计划在两个 Firefox Beta 周期内监控遥测数据，然后我们将让这一变化进入 Firefox 正式版。因此，预计 Firefox 74 将在 **2020 年 3 月 10 日** 发布时将 TLS 1.2 作为安全连接的最低版本提供。我们目前计划保留覆盖按钮；我们正在收集的遥测数据将告诉我们此按钮的使用频率。这些结果将决定我们何时完全移除按钮。这个按钮不太可能存在太久。我们致力于彻底消除弱 TLS 版本，因为 Mozilla 认为用户 安全不应该被视为可选。

再次强调，我们希望强调在未来几个月 升级 Web 服务器 的重要性，因为我们将告别 TLS 1.0 和 TLS 1.1。安息吧，你们为我们服务得很好。