在過去幾年中,微軟一直在發佈與TLS(傳輸層安全)更新和更改相關的多項改進與升級,其中大部分都是為讓Windows成為更安全的操作系統。
最近的變化與即將在 Windows 上淘汰 TLS 1.0 和 1.1有關,該公司於去年 8 月宣佈這一消息,今年早些時候還宣佈結束對Azure 存儲賬戶的 TLS 1.0 和 1.1 支持。微軟隨後也針對前者發出提醒,因為這是一個重大轉變。
在此之後,微軟現在宣佈將很快停止對長度小於 2048 位的 RSA 密鑰的支持,這樣 TLS 服務器驗證會更加安全,因為未來的 Windows 版本會阻止舊的、過時的和潛在的惡意網站和其他基於網絡的應用程序。
由於當前的現代標準和基於安全的最佳實踐建議至少使用 2048 位 RSA(Rivest-Shamir-Adleman)或 256 位 ECDSA(橢圓曲線數字簽名算法)加密密鑰,因此這一更新早就該進行。
與提供 80 位安全強度的 1024 位 RSA 密鑰相比,2048 位密鑰提供 112 位安全強度,在這種情況下,更多意味著更好。
在其網站上,微軟對更新進行解釋:
將不再支持使用密鑰長度小於 2048 位的 RSA 密鑰的證書。互聯網標準和監管機構在 2013 年禁止使用 1024 位密鑰,並特別建議 RSA 密鑰的密鑰長度應為 2048 位或更長。
此次棄用主要是為確保用於 TLS 服務器身份驗證的所有 RSA 證書的密鑰長度必須大於或等於 2048 位,Windows 才能認為其有效。
企業或測試認證機構 (CA) 簽發的 TLS 證書不受此更改的影響。不過,作為安全最佳實踐,我們建議將它們更新為大於或等於 2048 位的 RSA 密鑰。這一變更對於保護使用證書進行身份驗證和加密的 Windows 客戶的安全非常必要。
與 TLS 和 RSA 相關的更新並不是微軟 唯一的安全變更計劃。該公司最近宣佈將更新Windows 8 時代的安全啟動密鑰。最近,這傢科技巨頭還表示可能會推出更多類似於 TPM 的安全芯片,也許是Pluton 這樣的芯片。與此同時,Windows 內核也在進行Rust式改造,以提高內存安全性。