我來嘮家常#
微軟宣布Win10/Win11系統將不再支持低于2048位RSA密鑰證書以增強安全性
微軟公司近日發布了一項重要的安全更新策略,正式聲明自未來某一特定日期起�,Windows 10和Windows 11操作系統將停止對采用短于2048位密鑰長度的RSA證書的支持�。此舉旨在進一步加強其操作系統的安全性�,并與業界最佳實踐保持一致,確保用戶數據和通信的安全性得到全面提升�����。
根據微軟的安全政策更新���,這一變更意味著所有在Windows 10和Windows 11平臺上運行的應用程序���、服務以及操作系統本身所依賴的數字證書���,必須采用至少2048位長的RSA密鑰生成����。較短的密鑰長度由于計算能力的快速發展,已無法提供足夠的安全保障����,易受到現代計算機硬件和算法破解的風險�。
RSA密鑰在Windows 10和Windows 11中有多種應用場景����。以下是一些主要的用途:
- 安全通信:RSA密鑰對在Windows系統上的安全通信中扮演著重要角色。例如,當您使用安全套接字層(SSL)或傳輸層安全性(TLS)協議進行網絡通信時���,RSA密鑰可以用于建立安全的加密連接。這確保了數據的機密性、完整性和身份驗證。
- 數字簽名:RSA密鑰對也可以用于數字簽名���,以驗證數據的完整性和來源�。通過使用私鑰對數據進行簽名,并使用公鑰進行驗證,可以確保數據在傳輸過程中沒有被篡改,并且確實來自可信的發送者�。
- 軟件分發和更新:在Windows系統中�,軟件分發和更新通常需要驗證下載的軟件包的完整性和來源����。RSA密鑰可以用于對軟件包進行簽名,以確保其未被篡改,并且確實來自官方或可信的來源。
- 智能卡和證書存儲:Windows系統的智能卡功能使用RSA密鑰進行身份驗證和加密通信。智能卡上的私鑰與計算機上的公鑰配對��,用于安全地驗證用戶身份和訪問權限�����。
- VPN連接:當您在Windows系統上設置虛擬私人網絡(VPN)連接時��,RSA密鑰可以用于建立安全的VPN隧道,保護數據在公共網絡上的傳輸。
- 加密文件系統:Windows的加密文件系統(EFS)使用RSA密鑰對文件進行加密����,以保護存儲在硬盤上的敏感數據��。只有擁有相應私鑰的用戶才能解密和訪問這些文件。
微軟強調��,在規定的時間點之后,任何嘗試使用不足2048位RSA密鑰證書進行簽名或加密的操作都將不再被操作系統認可,可能導致應用程序無法正常啟動、網絡連接失敗或系統拒絕執行相關安全操作。
此決策是微軟持續強化其產品安全防線的一部分���,鼓勵開發者和IT管理員盡快檢查并更新現有的SSL/TLS證書以及其他基于RSA密鑰的身份驗證和加密機制,確保符合新的安全要求。
此外�����,微軟建議所有用戶及時安裝相關的系統更新和補丁���,以便在新政策實施時能順利過渡����,同時呼吁企業用戶在內部環境中也采取相應的措施來升級證書配置��,共同維護一個更加安全的信息技術環境�。
由于舊版哈希算法不再安全����,業內在 2017 年掀起了拋棄 SHA-1 TLS 證書的運動。微軟、谷歌、Mozilla 起到了很好的表率作用�����,并鼓勵大家遷移到更安全的 SHA-2 或 SHA-3 證書�,然而蘋果卻遲遲沒有采取行動。好消息是��,在開發者大會(WWDC 2019)之后�����,該公司在新版支持頁面上寫到���,iOS 13 和 macOS 10.15 Catalina��,已正式拋棄采用 SHA-1 算法簽名的證書。
(題圖 via Neowin)
蘋果在官方支持頁面上寫到:
● 使用 RSA 密鑰的 TLS 服務器證書和頒發機構(CA)�,必須使用 ≥ 2048 位的密鑰��,TLS 將不再信任使用
● TLS 服務器和 CA 必須使用基于 SHA-2 的哈希算法,TLS 不再信任 SHA-1 簽名的證書��。
● TLS 服務器證書必須在‘主體別名’(Subject Alternative Name)擴展名中顯示服務器的 DNS 名稱�����,常用名(CommonName)中的 DNS 名稱將不再被信任�。
最后�����,蘋果向所有不符合新要求的 TLS 服務器所有者提出了警告,升級不及時的網站或服務�,將在 iOS 13 或 macOS 10.15 Catalina 設備上遭遇流量不通等網絡故障��。
