Su administrador lo entendió realmente mal (o hubo algún contratiempo en la traducción).
TLS 1.1 y 1.2 solucionan algunos problemas en TLS 1.0 (es decir, la previsibilidad de IV para el cifrado de registros CBC). Es posible solucionar este problema en TLS 1.0, pero depende de la dificultad con la que trabajen las implementaciones. Entonces, en ese sentido, TLS 1.1 y 1.2 son más seguros que TLS 1.0, ya que son más fáciles de implementar de forma segura.
El llamado "heartbleed" no es un defecto de protocolo ; es un error de implementación que está presente en algunas versiones de OpenSSL (OpenSSL es una implementación generalizada de SSL / TLS , pero ciertamente no es el único). Cuando una versión de OpenSSL tiene ese error, lo tiene para todas las versiones de protocolo, incluido TLS 1.0. Por lo tanto, cuando se aplica Heartbleed, se aplica igualmente a TLS 1.0, TLS 1.1 y TLS 1.2. Cuando no se aplica, bueno, no se aplica.
La fuente de la confusión es que su administrador (o sus fuentes) no parece entender o conceptualizar la diferencia entre los protocolos y implementaciones . TLS 1.0 y TLS 1.2 son protocolos descritos en estándares relevantes ( RFC 2246 y RFC 5246 , respectivamente). Un protocolo dice qué bytes deben enviarse cuando. Una implementación es una pieza de software que ejecuta el protocolo. OpenSSL es una implementación. Sucede que el error "heartbleed" se produce en la implementación de una característica de protocolo relativamente nueva (la "extensión de latido") que las implementaciones de OpenSSL muy antiguas no conocen. Por lo tanto, las implementaciones muy antiguas de OpenSSL no tienen problemas de corazón (aunque tienen otros problemas graves, son muy antiguas). Las mismas muy antiguas implementaciones no saben nada de TLS 1.1 y TLS 1.2. Por lo tanto, en la mente de su administrador, los dos hechos independientes se fusionaron en un mantra único (pero defectuoso), que dice erróneamente que el corazón de corazón es un problema de seguridad de TLS 1.1 y 1.2.