微软封杀1024位TLS Windows无法再加载过时网络应用
在过去几年中,微软一直在发布与TLS(传输层安全)更新和更改相关的多项改进与升级,其中大部分都是为了让Windows成为更安全的操作系统。
最近的变化与即将在Windows上淘汰TLS1.0和1.1有关,该公司于去年8月宣布了这一消息,今年早些时候还宣布结束对Azure存储账户的TLS1.0和1.1支持。微软随后也针对前者发出了提醒,因为这是一个重大转变。
在此之后,微软现在宣布将很快停止对长度小于2048位的RSA密钥的支持,这样TLS服务器验证会更加安全,因为未来的Windows版本会阻止旧的、过时的和潜在的恶意网站和其他基于网络的应用程序。
由于当前的现代标准和基于安全的最佳实践建议至少使用2048位RSA(Rivest-Shamir-Adleman)或256位ECDSA(椭圆曲线数字签名算法)加密密钥,因此这一更新早就该进行了。
与提供80位安全强度的1024位RSA密钥相比,2048位密钥提供112位安全强度,在这种情况下,更多意味着更好。
在其网站上,微软对更新进行了解释:
将不再支持使用密钥长度小于2048位的RSA密钥的证书。互联网标准和监管机构在2013年禁止使用1024位密钥,并特别建议RSA密钥的密钥长度应为2048位或更长。
此次弃用主要是为了确保用于TLS服务器身份验证的所有RSA证书的密钥长度必须大于或等于2048位,Windows才能认为其有效。
企业或测试认证机构(CA)签发的TLS证书不受此更改的影响。不过,作为安全最佳实践,我们建议将它们更新为大于或等于2048位的RSA密钥。这一变更对于保护使用证书进行身份验证和加密的Windows客户的安全非常必要。
与TLS和RSA相关的更新并不是微软唯一的安全变更计划。该公司最近宣布将更新Windows8时代的安全启动密钥。最近,这家科技巨头还表示可能会推出更多类似于TPM的安全芯片,也许是Pluton这样的芯片。与此同时,Windows内核也在进行Rust式改造,以提高内存安全性。
踩一下[0]
顶一下[0]