采用更安全的TLS配置,提升网络通信安全

本文详细介绍了TLS 1.2及更高版本的安全优势,微软产品对TLS 1.3的支持情况,以及如何根据CRYPTREC指南配置安全加密套件。内容包括协议禁用时间表、Windows系统设置建议和.NET应用最佳实践,帮助IT管理员构建更安全的通信环境。

采用更安全的TLS配置

数据加密和安全通信的传输层安全协议(TLS)。正如本博客过去多次提到的,行业整体推荐使用更安全的TLS协议版本——TLS 1.2及更高版本,并逐步淘汰TLS 1.1/TLS 1.0。微软所有受支持的产品和服务均已支持TLS 1.2,并正在逐步禁用或默认禁用TLS 1.0/1.1。在浏览器方面,Edge Chromium版(版本84)已于2020年7月默认禁用TLS 1.0/1.1,并计划最早于2021年春季在Internet Explorer 11和Microsoft Edge HTML版中也默认禁用TLS 1.0/TLS 1.1。在云服务中,Office 365和Azure的各项服务也在逐步禁用TLS 1.1/1.0。详细信息请参考过去的博客文章:[IT管理员] 推荐迁移至TLS 1.2 以及 2020年IE、Edge中禁用TLS 1.0、1.1连接。请确认!

[2020/9/7更新] 关于各产品和服务中TLS 1.0/1.1的淘汰计划,请参考以下信息: TLS 1.0 and 1.1 deprecation https://techcommunity.microsoft.com/t5/microsoft-sharepoint-blog/tls-1-0-and-1-1-deprecation/ba-p/1620264

不仅协议版本,安全加密设置也很重要

为了安全使用TLS,不仅需要关注TLS协议版本,还需要正确配置与TLS处理相关的各种设置。必须选择适当的加密算法、密钥交换、哈希算法以及密钥长度等设置。在Windows中,TLS使用的加密算法通过密码套件(Cipher Suite)定义,并按优先级从高到低顺序使用。

在众多加密算法和密钥设置选项中,如何为管理的TLS服务器和客户端选择合适的值?对于非加密专业的IT管理员来说,验证各种设置并判断其安全性通常很困难。此外,为了安全运营IT系统,不仅要关注安全性,还要平衡安全与运营,持续进行适当的管理。通常,使用更新的算法和更长的密钥长度可以提高安全性,但可能会引发兼容性或性能问题。关于TLS使用时的安全加密算法及密钥等设置,建议参考Windows的默认值、基线以及各行业团体发布的指南,选择适合组织和所用系统的设置值。

如果不知道从何入手,建议参考日本代表性的指南——由密码技术评估项目CRYPTREC提供的TLS加密设置指南。指南及各种设置的参考资料均在信息处理推进机构(IPA)的网站上汇总发布。

信息处理推进机构(IPA) TLS加密设置指南~为了安全的网站(加密设置对策篇)~

该指南设定了三个级别的设置基准(高安全型、推荐安全型、安全例外型),以平衡安全性确保和互连需求,可以根据所用系统所需的风险应对级别选择TLS设置基准。2020年7月,发布了目前的最新版第3版,新增了关于TLS 1.3的指导,并禁止了不安全的旧协议SSL 3.0,各要求项目均要求使用安全性更强的设置。

此外,该指南还包含TLS和加密算法的解说及具体设置步骤,以便非加密或安全专业的IT管理员也能正确理解内容并轻松进行设置。Windows和IIS的设置也收录在“TLS加密设置 服务器设置篇&密码套件设置示例(Windows IIS用)”中,请务必参考。

关于加密中使用的密钥管理系统,CRYPTREC还发布了管理加密密钥的指南“加密密钥管理系统设计指南(基本篇)”。请务必也参考此指南。

微软TLS 1.3支持情况

关于最新的TLS协议版本TLS 1.3,目前正在Windows、Edge等微软产品和服务中推进实现和部署。

截至2020年8月,支持情况如下。最新信息请参考各产品页面。

浏览器(Microsoft Edge、Internet Explorer):

  • Microsoft Edge (Chromium):最新版本已支持TLS 1.3
  • Microsoft Edge (Edge-HTML):最新版本已支持TLS 1.3
  • Internet Explorer 11:最新版本已支持TLS 1.3

Windows:

  • Windows 10 version 1903、Windows Server 1903及更高版本支持TLS 1.3(但目前仅用于测试目的) (2020年8月21日更新)从Windows 10 Insider Preview build 20170开始,默认启用TLS 1.3,以便广泛测试。详细信息请参考“Taking Transport Layer Security (TLS) to the next level with TLS 1.3”。

.NET:

  • 建议不要指定.NET应用中的TLS协议版本,而应设计应用以遵循所使用的操作系统。这样,可以根据所用操作系统的TLS协议优先级使用,当最新的协议和密码套件可用时,.NET也会相应使用。详细信息请参考Transport Layer Security (TLS) best practices with the .NET Framework。

为了安全使用TLS,不仅需要关注TLS协议版本,还需要正确配置与TLS处理相关的密钥交换算法等各种设置。请根据目标系统选择合适的算法和设置值,运营安全的TLS环境!

参考:Microsoft TLS 1.3 Support Reference

垣内 由梨香 安全程序经理 安全响应团队 Microsoft Corp. ——————————— 2020年8月19日:将Internet Explorer 11、Microsoft Edge HTML版中默认禁用TLS 1.0/TLS 1.1的计划改为2021年春季。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次