传输层保安(TLS)通讯协定是一种通讯保安协议,它能确保数据传输能够抵御窃听和数据篡改的攻击。该通讯协议亦随着时间变得更安全,效能更佳。针对这发展,不安全的通讯协议 TLS 1.0 和 TLS 1.1 版本亦将于 2020 年 3 月终止支援。 基于安全考虑,TLS 支援的资讯科技基础架构必须升级到较安全的 TLS 1.2 和 TLS 1.3 版本。
支援终止将会影响许多网络应用程序。如果网站仍未升级,浏览该网站的访客可能会遇到如“这个网站连线不安全。此页面使用较弱的加密”的讯息。为避免此类尴尬情况,请立即升级至更安全的 TLS 通讯协议和算法。
HKCERT已发布《TLS 升级指南》, 为资讯科技业界提供简易的指引,协助他们有系统地升级 TLS 通讯协议和加密套件,以符合现行的安全标准。
指南提出两个简单的配置,以满足不同的情况的需要。一个以高度保安为目标,另一个则以在保安和兼容两者之间取得适当平衡。指南亦就每个配置提供了建议使用TLS的版本和加密套件。
在保安和兼容两者之间取得适当平衡 TLS 1.2 和 TLS 1.3
指南就 TLS 升级步骤提供以下的建议部署,并介绍步骤的详情和应用的工具。
第一步“盘点”( Inventory ) 是一个重要的开始。有些人只考虑最显而易见的设施(例如公共网络服务器),但忽略了很多其他设施。因此,指南列出了更多依赖 TLS 支援而需要多加注意的服务。
在规划阶段(Planning),则会提供有关升级策略和先后次序的建议,并提醒读者为无法升级设施预备应变计划。
请按此下载 《TLS 升级指南》及《盘点表格范本》。用户或开发者如对指南有任何意见或查询,欢迎通过电邮 [email protected] 或24小时热线电话 81056060 与 HKCERT 联络。