SSL信息
万众期待的TLS1.3即将正式上线,但对于世界上大多数使用互联网的地方而言,支持TLS1.3可能为时尚早。只有当我们赖以工作的系统、软件都开始支持TLS1.3了,整个网络生态才会变得更好。
TLS1.3用不上,我们便将希望付诸于TLS1.2上。这个十年前问世的版本至今仍未被很多系统和程序所采用。近日,微软对TLS1.2给予了关注。微软关注的协议漏洞——如POODLE,该漏洞影响SSL 3.0和TLS 1.0——给仍在使用TLS 的这些老旧版本的企业和软件造成了难以接受的风险。
于是乎微软宣布进行一项工作来改进Windows系统对TLS 1.2的支持,并鼓励他们的企业客户抛弃此前问题多多的TLS 版本的原因。
目标是什么?移除对TLS 1.0和TLS 1.1的支持(或偏好),代之以TLS 1.2。如果你的操作系统不支持TLS 1.2,那么它就需要升级或者被取代了。
尽管TLS 1.0和1.1像该协议很多更老旧版本一样,仍未被彻底淘汰,但聪明人都知道,这些版本都有很多缺陷和漏洞。
Windows系统中,有问题的是Vista、Windows 7和Server 2008。Vista和Server 2008系统已完全不再支持TLS 1.2。在Windows 7和Server 2008 R2系统中,默认情况下也不支持TLS 1.2。
为解决这一问题,微软公司已经宣布他们将于“今年夏季晚些时候”通过新的补丁在Windows Server 2008系统中为TLS 1.2提供支持。
在最近一些Windows操作系统的版本——Windows Server 2012及以后的版本——中,TLS 1.2是默认情况下系统最偏好的协议版本。但你仍需要确认你的软件没有使用更低版本的特殊要求。
对那些使用Windows加密库进行工作的人们来说,微软公司已发布新的白皮书,以解决TLS 1.0的问题,这份白皮书包括一些特殊指南,指导你检查你的软件是否已将对TLS 1.0/1.1的偏好固化,还包括一些支持较低版本协议的特殊功能。
“如果还没做的话,强烈建议你盘点一下你的企业、客户和合作伙伴所使用的操作系统(对于后两者,通过扩展服务/沟通或至少通过HTTP的User-Agent字符集来完成)。这种库存可以通过在你的企业的网络边缘进行通信分析得到进一步补充。在这种情况下,通信分析将放弃连接到你的服务的客户/合作伙伴已达成协议的那些TLS版本,但通信本身仍将被加密。”
稿源: The SSL Store