HKCert
保安博錄

HKCERT 發布了關於 升級 TLS 至安全版本的指南

發布日期: 28 / 02 / 2020
最後更新: 28 / 02 / 2020

傳輸層保安(TLS)通訊協定是一種通訊保安協議,它能確保數據傳輸能夠抵禦竊聽和數據篡改的攻擊。該通訊協議亦隨著時間變得更安全,效能更佳。針對這發展,不安全的通訊協議 TLS 1.0 和 TLS 1.1 版本亦將於 2020 年 3 月終止支援。 基於安全考慮,TLS 支援的資訊科技基礎架構必須升級到較安全的 TLS 1.2 和 TLS 1.3 版本。
 
支援終止將會影響許多網絡應用程式。如果網站仍未升級,瀏覽該網站的訪客可能會遇到如「這個網站連線不安全。此頁面使用較弱的加密」的訊息。為避免此類尷尬情況,請立即升級至更安全的 TLS 通訊協議和演算法。
 
HKCERT已發布《TLS 升級指南》, 為資訊科技業界提供簡易的指引,協助他們有系統地升級 TLS 通訊協議和加密套件,以符合現行的安全標準。
 
指南提出兩個簡單的配置,以滿足不同的情況的需要。一個以高度保安為目標,另一個則以在保安和兼容兩者之間取得適當平衡。指南亦就每個配置提供了建議使用TLS的版本和加密套件。

 

配置應用準則
使用的 TLS 版本
新式安全設定
高度保安為目標僅限 TLS 1.3
中等程度安全設定
在保安和兼容兩者之間取得適當平衡TLS 1.2 和 TLS 1.3

 

指南就 TLS 升級步驟提供以下的建議部署,並介紹步驟的詳情和應用的工具。

 

 

第一步「盤點」( Inventory ) 是一個重要的開始。有些人只考慮最顯而易見的設施(例如公共網絡伺服器),但忽略了很多其他設施。因此,指南列出了更多依賴 TLS 支援而需要多加注意的服務。
 
在規劃階段(Planning),則會提供有關升級策略和先後次序的建議,並提醒讀者為無法升級設施預備應變計劃。
 
請按此下載 《TLS 升級指南》《盤點表格範本》。用戶或開發者如對指南有任何意見或查詢,歡迎通過電郵 [email protected] 或24小時熱線電話 81056060 與 HKCERT 聯絡。