提高TLS安全! 微軟將淘汰Windows系統1024位元RSA金鑰

微軟近日宣布將逐步淘汰Windows傳輸層安全性(TLS)協定中使用2048位元以下的RSA金鑰。
 
RSA密鑰用於Windows系統中的多種用途，包括伺服器驗證、資料加密以及確保通訊完整性。密鑰越長，破解的難度也就越高。1024位元的RSA密鑰約有80位元的強度，而2048位元則約有112位元，密鑰分解時間相差49億倍。業界專家認為2048位元的密鑰至少可以安全使用到2030年。
 
微軟決定將TLS伺服器驗證憑證所需的RSA密鑰長度最低標準提升為2048位元以上，協助企業避免使用不夠強度的加密。
 
微軟公告表示，將逐步淘汰使用低於2048位元的RSA密鑰所簽發的憑證。網際網路標準組織和監管機構在2013年便禁止使用1024位元的密鑰，並明確建議RSA密鑰長度至少應達2048位元以上。這項淘汰作業確保所有用於TLS伺服器驗證的RSA憑證必須使用超過或等於2048位元的密鑰長度，才能被Windows系統視為有效。
 
不過，這項作法可能會影響仍在使用1024位元RSA密鑰的舊版軟體和網路設備如印表機等，導致無法與Windows伺服器進行驗證。
 
儘管微軟尚未確切說明淘汰計畫的啟動時間，但預計會先正式宣布後再給予一定的緩衝期。在這段期間，Windows管理員可調整記錄設定，找出使用舊密鑰連線的裝置並進行調整。
 
不過微軟也體諒大型企業和測試環境對自行簽發憑證的需求，因此這次變動暫時不會影響到企業內部使用的自簽憑證和測試憑證。但是對外部通訊用途，微軟將會嚴格執行2048位元的最低標準。
 
微軟強烈建議企業用戶盡快過渡至2048位元或更長的RSA密鑰，以符合最佳安全實踐。

本文轉載自bleepingcomputer。