美國國安局建議企業應停用舊版TLS協定

美國國家安全局(National Security Agency, NSA)於1月5日發布安全指引，建議企業停用傳輸層安全性協定(Transport Layer Security, TLS)1.0、1.1與其前身安全通訊協定(Secure Sockets Layer, SSL)2.0、3.0等舊版協定。

NSA指出，使用TLS舊版協定將會帶來更嚴重之網路威脅風險，如攻擊者可藉由舊版TLS協定弱點，發動中間人攻擊、攔截數據資料及解密數據資料等。此外，已有情報顯示，國家支持之駭客組織，透過舊版TLS協定進行攻擊行為。另一方面，TLS 1.3協定已於2018年釋出，同年主要瀏覽器業者如微軟、Google、蘋果、Mozilla等宣布，終止支援TLS 1.0與TLS 1.1。

NSA建議僅使用TLS 1.2或TLS 1.3，不得使用SSL 2.0、SSL 3.0、TLS 1.0及TLS 1.1。即使部署TLS 1.2或TLS 1.3，NSA建議避免使用較弱之加密參數與加密套件，如TLS 1.2支援之NULL、RC2、RC4、DES、IDEA及TDES/3DES等演算法，TLS 1.3雖已移除不安全加密套件，惟同時支援TLS 1.2與TLS 1.3之實作，應檢查是否使用不安全之加密套件。


本文轉載自NCCST。