在过去几年中,微软发布了多个与 TLS(传输层安全)更新和变更相关的公告。其中大部分都是为了让 Windows 成为更安全的操作系统。
最近的变化与即将在 Windows 上淘汰 TLS 1.0 和 1.1 有关,该公司于去年 8 月宣布了这一消息,今年早些时候还宣布结束对 Azure 存储账户的 TLS 1.0 和 1.1 支持。由于前者是一个重大转变,微软随后也发布了提醒。
在此之后,微软又宣布将很快结束对长度短于 2048 位的 RSA 密钥的支持,这样 TLS 服务器身份验证可能会更加安全,因为未来的 Windows 版本应该会阻止旧的、过时的和潜在的恶意网站和其他基于网络的应用程序。
由于当前的现代标准和基于安全的最佳实践建议至少使用 2048 位 RSA(Rivest-Shamir-Adleman)或 256 位 ECDSA(椭圆曲线数字签名算法)加密密钥,因此这一更新早就应该进行了。
与提供 80 位安全强度的 1024 位 RSA 密钥相比,2048 位密钥提供 112 位强度,在这种情况下,更多意味着更好。
微软在其网站上解释了这一更新:
将不再支持使用密钥长度小于 2048 位的 RSA 密钥的证书。互联网标准和监管机构在 2013 年禁止使用 1024 位密钥,并特别建议 RSA 密钥的密钥长度应为 2048 位或更长。
此次弃用主要是为了确保用于 TLS 服务器验证的所有 RSA 证书的密钥长度必须大于或等于 2048 位,这样 Windows 才能认为其有效。
企业或测试认证机构 (CA) 签发的 TLS 证书不受此更改的影响。不过,作为安全最佳实践,我们建议将它们更新为大于或等于 2048 位的 RSA 密钥。这一变更对于保护使用证书进行身份验证和加密的 Windows 客户的安全非常必要。
与 TLS 和 RSA 相关的更新并不是微软唯一的安全变更计划。该公司最近宣布将更新 Windows 8 时代的安全启动密钥。最近,这家科技巨头还表示可能会推出更多类似于 TPM 的安全芯片,也许是 Pluton 这样的芯片。与此同时,Windows 内核也在进行 Rust 式改造,以提高内存安全性。
![[WIN] Memtest86+ v7.00 正式版](https://www.pcsofter.com/wp-content/uploads/2022/10/202302061039392.png)
