微軟宣布增加新的Windows Server 2019功能�����,該功能將使管理員能夠通過證書綁定阻止舊版本來實(shí)施傳輸層安全(TLS)版本���。
微軟表示:``從KB4490481開始,Windows Server 2019現(xiàn)在允許您阻止較弱的TLS版本與您指定的單個(gè)證書一起使用�����。''
“我們稱此功能為'Disable Legacy TLS'(禁用舊版TLS)�,它可以在您選擇的任何證書上有效地實(shí)施TLS版本和密碼套件最低要求�����!
在停用傳統(tǒng)TLS 功能使得局部交付的服務(wù)或從網(wǎng)上資源��,提供“端點(diǎn)的兩個(gè)不同的分組在相同的硬件”��,即一個(gè)只允許TLS 1.2+交通和另一個(gè)旨在也支持傳統(tǒng)的TLS 1.0交通�����。
雖然以前執(zhí)行特定的TLS版本需要額外的硬件�,并且它們需要基于系統(tǒng)范圍的基于注冊(cè)表的配置,但是新的更改是在HTTP.sys中實(shí)現(xiàn)的���,并將允許在證書的幫助下進(jìn)行TLS感知的流量路由�。
Windows Server 2019中新的基于證書的TLS版本綁定使管理員可以滿足已經(jīng)轉(zhuǎn)為每天使用TLS 1.2+的客戶組的需求以及仍在努力從較弱的實(shí)現(xiàn)進(jìn)行遷移的客戶群體的需求�,例如作為TLS 1.0,所有這些都無需投資“兩個(gè)物理上分開的主機(jī)來處理所有流量并提供TLS版本實(shí)施”����。
Microsoft過去對(duì)其他各種產(chǎn)品進(jìn)行了更改,以確����?蛻裟軌蚋p松地過渡到TLS 1.2+:
•通過向較舊的操作系統(tǒng)添加TLS 1.2支持�;
•通過在IIS中提供新的日志記錄格式來檢測(cè)客戶端對(duì)TLS的弱使用�,
以及•提供消除TLS 1.0依賴性的最新技術(shù)指南。
Redmond還提供了新的Windows Server 2019 Disable Legacy TLS 功能的部署指南 �����,允許管理員通過Internet Information Services(IIS)服務(wù)器UI�,PowerShell命令或C ++ HTTP.sys API啟用它����,如本支持中所述文章。
啟用“ 禁用舊版TLS”功能時(shí)��,將強(qiáng)制執(zhí)行以下限制:
•禁用SSL2�,SSL3,TLS1.0和TLS1.1協(xié)議���。
•禁用加密密碼DES�����,3DES和RC4(因此僅使用AES)����。
•禁用具有CBC鏈接模式的加密密碼AES(因此僅使用AES GCM)。
•禁用RSA密鑰交換���。
•禁用密鑰大小小于2048的DH密鑰交換�����。
•禁用密鑰大小小于224的ECDH密鑰交換���。
微軟此前在與Google,Apple和Mozilla的協(xié)調(diào)公告中表示�,他們將從2020年上半年開始淘汰TLS 1.0和TLS 1.1安全通信協(xié)議。
TLS是一種用于加密網(wǎng)站與Web瀏覽器之間的通信通道的協(xié)議�����,其原始TLS 1.0規(guī)范和TLS 1.1后續(xù)版本已使用了大約20年����。
但是,瀏覽器現(xiàn)在正在切換到更安全的TLS 1.2和TLS 1.3規(guī)范����,這些規(guī)范還支持更新的協(xié)議�,例如HTTP / 2和HTTP / 3網(wǎng)絡(luò)協(xié)議��,這可以大大提高瀏覽速度��。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
