NSA敦促系统管理员替换过时的TLS协议

发布时间:2021-01-22 10:55:00

  美国国家安全局(usnationalsecurityagency)本月发布了一份安全公告,敦促联邦机构及其他机构的系统管理员停止使用过时的TLS协议。

  该机构说:“NSA建议只使用TLS 1.2或TLS 1.3;不要使用SSL 2.0、SSL 3.0、TLS 1.0和TLS 1.1。”

 

  “使用过时的加密提供了一种虚假的安全感,因为它看起来像是敏感数据受到保护,即使它真的不是,”该机构补充说。

  即使部署了tls1.2和tls1.3,NSA也警告不要将这两个协议配置为弱加密参数和密码套件。

  “特别是TLS1.2中的弱加密算法被指定为NULL、RC2、RC4、DES、IDEA和TDES/3DES;不应使用使用这些算法的密码套件,”该机构补充道。

  TLS 1.3删除了这些密码套件,但应检查同时支持TLS 1.3和TLS 1.2的实现是否有过时的密码套件

  美国网络安全局(uscybersecurityagency)在其GitHub概要文件上公布了一系列工具,帮助系统管理员识别仍在使用过时TLS协议配置的内部网络上的系统。


  来自荷兰的类似信息


  国安局1月5日公布的这一咨询意见昨日得到了该机构在荷兰的对应机构荷兰国家网络安全中心的回应。

  在一个类似的警告[PDF]中,荷兰NCSC还建议荷兰政府机构和私人公司迁移到tls1.3,作为“经得起未来考验”的配置方法的一部分。

  这两个警报是在2020年中期,主要的网络浏览器以安全为由停止支持tls1.0和tls1.1之后发布的。2020年3月,安全公司Netcraft报告称,约85万个网站仍在使用tls1.0和tls1.1对其HTTPS流量进行加密,此后这一数字逐渐下降。

  美国国家安全局在其公告中警告说,针对TLS协议的新攻击总是在被发现,组织应该使用最新的TLS协议版本来“始终领先于恶意行为体的能力,保护重要信息”

  【参考来源:zdnet】

最新发布
1
全球去年数据泄露已超过去15年总和!谁来捍卫我们的信息安全?
2
天威21周年庆大促来袭|SSL证书限时特惠,给礼更给利!
3
SSL证书过期?后果很严重!
4
疫情防控常态化,企业信息安全将同步迎来“大考”
5
SM2算法对比RSA算法,到底强在哪?
6
免费or付费?人类高质量SSL证书怎么选!
7
国务院颁发信息安全条例 国密SM2算法势在必行
8
东京奥运会被钓鱼网站攻击,如何破局?
9
Google再次发声,浏览器安全措施再度升级
10
天威诚信小课堂:SSL 证书使用过程中的常见问题及解决方法
相关推荐
年中大促来袭|SSL证书618盛惠热浪即将开启
SM2算法对比RSA算法,到底强在哪?
天威诚信小课堂:SSL 证书使用过程中的常见问题及解决方法
全球去年数据泄露已超过去15年总和!谁来捍卫我们的信息安全?
新安全措施:微软为Edge浏览器引入自动HTTPS切换功能
SSL证书过期?后果很严重!
天威诚信提醒您注意防范互联网流量劫持!
东京奥运会被钓鱼网站攻击,如何破局?
互联网时代大数据云集,可是,你的数据安全吗?
免费or付费?人类高质量SSL证书怎么选!