Microsoft 宣布计划在 Windows 系统中禁用 TLS 1.0 和 TLS 1.1 协议。这两种安全协议未来将在 Windows 操作系统中默认禁用。该计划将首先从 Windows 11 预览版本开始,于 2023 年 9 月开始实施。??
为了提高 Windows 用户的安全性,并推广现代协议的采用,从 2023 年 9 月开始,Windows 将默认禁用 TLS 1.0 和 1.1 版本。这一措施将适用于 Windows 11 Insider 预览版以及未来的 Windows 操作系统发布。需要保持兼容性的用户可选择重新启用 TLS 1.0 或 TLS 1.1 选项。 Microsoft 公告
较旧的 TLS 协议
TLS 协议用于在互联网连接期间保护客户端和服务器之间的通信。使用 TLS 1.2 或 TLS 1.3 被认为是可靠的,但较旧版本并不安全。
TLS 1.0 诞生于 1999 年,TLS 1.1 于 2006 年发布。据美国国家安全局(NSA)称,这些较旧的协议容易受到「被动解密」和「中间人」攻击,因此 NSA 在 2021 年发布了一份建议,建议禁用它们。该机构建议组织尽快转向 TLS 1.2 或 1.3,并检查是否使用了「过时的密码套件」,也应该将其禁用。
很多现代 Web 浏览器厂商早已停止支持 TLS 1.0 和 TLS 1.1,Microsoft 365 和 Exchange Online 客户端支持也已被移除。
由于使用率较低,Microsoft 现在将结束 Windows 对 TLS 1.0 和 TLS 1.1 这两个较旧 TLS 协议的支持。根据 Microsoft 公告中的表述,「我们多年来一直在跟踪 TLS 协议的使用情况,TLS 1.0 和 TLS 1.1 的使用数据已经足够低,因此可以采取行动。」
已知问题
阻止使用较旧的 TLS 1.0 和 TLS 1.1 协议看起来很简单,但是一些应用程序可能已经「硬编码」使用它们。组织需要进行大量检查以查找是否使用了较旧的协议,并在使用 TLS 1.2 时对当前的应用程序进行测试。
Microsoft 的公告列出了一些受到在 Windows 中禁用 TLS 1.0 和 TLS 1.1 支持所影响的 Windows 应用程序,比如 Safari 5.1.7 ,SQL 2012、2014 和 2016,SQL Server 2014 和 SQL Server 2016,Turbo Tax 2018 及更早版本等等。
公告为开发人员和 IT 专业人员提供了一些建议,以确保在 Windows 禁用旧协议后一切正常运行。有时候,可以通过更新应用程序来解决问题。详细情况可以参考 2022 年的 解决 TLS 1.0 问题(第 2 版)。