https://newera17031.activehosted.com/index.php?action=social&chash=01e9565cecc4e989123f9620c1d09c09.2117&nosocial=1

新聞

美國國安局建議企業應停用舊版TLS協定

2021 / 02 / 17
編輯部
美國國安局建議企業應停用舊版TLS協定
美國國家安全局(National Security Agency, NSA)於1月5日發布安全指引,建議企業停用傳輸層安全性協定(Transport Layer Security, TLS)1.0、1.1與其前身安全通訊協定(Secure Sockets Layer, SSL)2.0、3.0等舊版協定。

NSA指出,使用TLS舊版協定將會帶來更嚴重之網路威脅風險,如攻擊者可藉由舊版TLS協定弱點,發動中間人攻擊、攔截數據資料及解密數據資料等。此外,已有情報顯示,國家支持之駭客組織,透過舊版TLS協定進行攻擊行為。另一方面,TLS 1.3協定已於2018年釋出,同年主要瀏覽器業者如微軟、Google、蘋果、Mozilla等宣布,終止支援TLS 1.0與TLS 1.1。

NSA建議僅使用TLS 1.2或TLS 1.3,不得使用SSL 2.0、SSL 3.0、TLS 1.0及TLS 1.1。即使部署TLS 1.2或TLS 1.3,NSA建議避免使用較弱之加密參數與加密套件,如TLS 1.2支援之NULL、RC2、RC4、DES、IDEA及TDES/3DES等演算法,TLS 1.3雖已移除不安全加密套件,惟同時支援TLS 1.2與TLS 1.3之實作,應檢查是否使用不安全之加密套件。


本文轉載自NCCST。