美国国家安全局(usnationalsecurityagency)本月发布了一份安全公告,敦促联邦机构及其他机构的系统管理员停止使用过时的TLS协议。
该机构说:“NSA建议只使用TLS 1.2或TLS 1.3;不要使用SSL 2.0、SSL 3.0、TLS 1.0和TLS 1.1。”
“使用过时的加密提供了一种虚假的安全感,因为它看起来像是敏感数据受到保护,即使它真的不是,”该机构补充说。
即使部署了tls1.2和tls1.3,NSA也警告不要将这两个协议配置为弱加密参数和密码套件。
“特别是TLS1.2中的弱加密算法被指定为NULL、RC2、RC4、DES、IDEA和TDES/3DES;不应使用使用这些算法的密码套件,”该机构补充道。
TLS 1.3删除了这些密码套件,但应检查同时支持TLS 1.3和TLS 1.2的实现是否有过时的密码套件
美国网络安全局(uscybersecurityagency)在其GitHub概要文件上公布了一系列工具,帮助系统管理员识别仍在使用过时TLS协议配置的内部网络上的系统。
来自荷兰的类似信息
国安局1月5日公布的这一咨询意见昨日得到了该机构在荷兰的对应机构荷兰国家网络安全中心的回应。
在一个类似的警告[PDF]中,荷兰NCSC还建议荷兰政府机构和私人公司迁移到tls1.3,作为“经得起未来考验”的配置方法的一部分。
这两个警报是在2020年中期,主要的网络浏览器以安全为由停止支持tls1.0和tls1.1之后发布的。2020年3月,安全公司Netcraft报告称,约85万个网站仍在使用tls1.0和tls1.1对其HTTPS流量进行加密,此后这一数字逐渐下降。
美国国家安全局在其公告中警告说,针对TLS协议的新攻击总是在被发现,组织应该使用最新的TLS协议版本来“始终领先于恶意行为体的能力,保护重要信息”
