通过目前,肯特郡使用各种各样的SSL/TLS,加密强度各不相同。开云体育app客服
目前,我们有一些系统只支持TLSv1.2,其他系统仍然接受SSLv2(!)和介于两者之间的所有协议。底层的密码强度也不一致,许多弱的或过时的仍然被接受。这给了恶意威胁者在现代网络中不应该存在的机会。
为了提高防御和一致性,现在有一种动力,让所有系统都采用TLSv1.2,只使用强密码。这不仅仅是针对伊斯兰国管理的系统——我们将走向全球,让每个人都参与进来。
这也将引导我们走向另外两个目标——
1.仅通过HTTPS和TLS服务所有网络流量。(是的,我们仍然有奇怪的页面,只有HTTP,和一些HTTP重定向不安全)
2.拥有完整的网站证书链,使用SHA-256或更高版本签名,并链接到受信任的根证书。
国家网络安全中心(NCSC)已经就如何保护TLS提供了指导,这是这些变化的基础。
非公务员合约指引摘要如下:
•移除对SSL的支持——Kent至少有一台服务器仍然接开云体育app客服受SSLv2/v3
•增加对TLS_FALLBACK_SCSV的支持,防止重协商攻击
•移除对TLS压缩的支持
•增加对临时密钥交换和认证加密的支持
•一个强密码套件列表:
•TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
•TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
•TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
•TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
•TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
•TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
需要移除的弱密码:
使用RC4的密码套件(如TLS_RSA_WITH_RC4_128_SHA)应该被删除,特别是TLS版本1.1及以上。
使用MD5的密码套件(如TLS_RSA_WITH_RC4_128_MD5)应该被删除。
使用匿名密钥交换的密码套件(如TLS_DH_anon_WITH_AES_128_CBC_SHA)应该被删除。
NULL密码套件(如TLS_RSA_WITH_NULL_SHA)应该被删除。
•应该删除使用DES的密码套件(例如TLS_RSA_WITH_DES_CBC_SHA)。
•应该删除导出密码套件(如TLS_RSA_EXPORT_WITH_DES40_CBC_SHA)。
(任何以TLS_RSA开头或包含_DES/ _3DES的内容都被认为是弱的)
可以接受的是,可能有一些遗留项目需要较旧的密码或较低版本的TLS,可以根据具体情况考虑例外情况,并接受相应的风险。