Il tuo amministratore ha ricevuto vero errore (oppure c'è stato un errore di traduzione).
TLS 1.1 e 1.2 risolvono alcuni problemi in TLS 1.0 (ovvero la prevedibilità di IV per la crittografia CBC dei record). È possibile aggirare questo problema in TLS 1.0, ma dipende dall'entità con cui le implementazioni funzionano. Quindi, in questo senso, TLS 1.1 e 1.2 sono più sicuri di TLS 1.0, poiché sono più facili da implementare in modo sicuro.
Il cosiddetto "heartbleed" non è un difetto protocollo ; è un bug di implementazione presente in alcune versioni OpenSSL (OpenSSL è un'implementazione diffusa di SSL / TLS , ma certamente non l'unico). Quando una versione OpenSSL ha quel bug, lo ha per tutte le versioni del protocollo, incluso TLS 1.0. Pertanto, quando si applica il heartbleed, vale anche per TLS 1.0, TLS 1.1 e TLS 1.2. Quando non si applica, beh, non si applica.
La fonte della confusione è che il tuo amministratore (o le sue fonti) non sembrano comprendere o concettualizzare la differenza tra protocol e implementazioni . TLS 1.0 e TLS 1.2 sono protocolli descritti in standard pertinenti ( RFC 2246 e RFC 5246 , rispettivamente). Un protocollo dice quali byte devono essere inviati quando. Un'implementazione è un software che esegue il protocollo. OpenSSL è un'implementazione. Accade così che il bug "heartbleed" si verifichi nell'implementazione di una relativamente nuova funzionalità del protocollo ("l'estensione del battito cardiaco") che le implementazioni OpenSSL molto vecchie non conoscono. Pertanto, le implementazioni molto vecchie di OpenSSL non soffrono di problemi di cuore (sebbene abbiano altri problemi seri, essendo molto vecchie). Le stesse implementazioni molto vecchie non conoscono affatto TLS 1.1 e TLS 1.2. Quindi, nella mente del tuo amministratore, i due fatti indipendenti si sono uniti in un unico (ma imperfetto) mantra, che dice erroneamente che heartbleed è un problema di sicurezza di TLS 1.1 e 1.2.