关注网络安全
和行业未来

十月行业新闻回顾

本月大事件:TLS 1.0 和 TLS 1.1时代的结束

Google,Microsoft,Mozilla和Apple 四大浏览器厂商宣布,在2020年,他们将废除旧的TLS协议1.0和1.1版本。因此,网站管理员应该确保他们的网站最低支持TLS 1.2版本的协议,最理想的是支持TLS 1.3最新版本协议。

尽管TLS 1.0和1.1确实存在一些安全问题,但问题的严重程度是存在争议的。TLS 1.0易受BEAST攻击,但客户端是可以相对容易地减轻这种攻击的。TLS 1.0和1.1都使用不安全的MD5和SHA1哈希函数,这个安全问题在SLOTHattack中已经讨论过。

浏览器厂商还没有弃用弱加密模式,像CBC/HMAC with MAC-then-encrypt和静态RSA握手,在TLS 1.2中仍然是支持的。然而,从谷歌的声明中可以看出,弱加密模式的弃用是不可避免的,建议支持AEAD模式和ECDHE密钥交换方式。

值得注意的是,四家主要的浏览器厂商努力协调共同推进旧版加密协议的弃用。之所以需要协调是因为在过去对弃用旧版本加密协议的讨论遇到了阻力,因为当一个浏览器供应商先弃用旧版加密协议时,可能会导致它的用户向另一个浏览器倒戈。尽管它们的时间线并不完全一致,但是同时弃用将减少浏览器厂商对这种情况的担心。

本月短新闻

稿件来源:Feisty Duck

评论 抢沙发