微软封杀1024位TLS Windows无法再加载过时网络应用

在过去几年中，微软一直在发布与TLS（传输层安全）更新和更改相关的多项改进与升级，其中大部分都是为了让Windows成为更安全的操作系统。

最近的变化与即将在Windows上淘汰TLS1.0和1.1有关，该公司于去年8月宣布了这一消息，今年早些时候还宣布结束对Azure存储账户的TLS1.0和1.1支持。微软随后也针对前者发出了提醒，因为这是一个重大转变。

在此之后，微软现在宣布将很快停止对长度小于2048位的RSA密钥的支持，这样TLS服务器验证会更加安全，因为未来的Windows版本会阻止旧的、过时的和潜在的恶意网站和其他基于网络的应用程序。

由于当前的现代标准和基于安全的最佳实践建议至少使用2048位RSA（Rivest-Shamir-Adleman）或256位ECDSA（椭圆曲线数字签名算法）加密密钥，因此这一更新早就该进行了。

与提供80位安全强度的1024位RSA密钥相比，2048位密钥提供112位安全强度，在这种情况下，更多意味着更好。

在其网站上，微软对更新进行了解释：

将不再支持使用密钥长度小于2048位的RSA密钥的证书。互联网标准和监管机构在2013年禁止使用1024位密钥，并特别建议RSA密钥的密钥长度应为2048位或更长。

此次弃用主要是为了确保用于TLS服务器身份验证的所有RSA证书的密钥长度必须大于或等于2048位，Windows才能认为其有效。

企业或测试认证机构(CA)签发的TLS证书不受此更改的影响。不过，作为安全最佳实践，我们建议将它们更新为大于或等于2048位的RSA密钥。这一变更对于保护使用证书进行身份验证和加密的Windows客户的安全非常必要。

与TLS和RSA相关的更新并不是微软唯一的安全变更计划。该公司最近宣布将更新Windows8时代的安全启动密钥。最近，这家科技巨头还表示可能会推出更多类似于TPM的安全芯片，也许是Pluton这样的芯片。与此同时，Windows内核也在进行Rust式改造，以提高内存安全性。