- Microsoft killt endlich 1024-Bit-TLS, damit...
In den letzten Jahren hat Microsoft mehrere Ankündigungen zu TLS (Transport Layer Security)-Updates und Änderungen gemacht. Vieles davon zielt darauf ab, Windows zu einem sichereren Betriebssystem zu machen.
Die jüngsten Änderungen betrafen die Veraltung von TLS 1.0 und 1.1 auf kommenden Windows-Versionen, wie das Unternehmen im August des letzten Jahres ankündigte. Anfang dieses Jahres wurde auch das Ende der Unterstützung von TLS 1.0 und 1.1 für Azure Storage-Konten verkündet. Microsoft erinnerte später noch einmal daran, da es sich um eine wichtige Veränderung handelt.
Nun hat Microsoft angekündigt, dass es bald die Unterstützung für RSA-Schlüssel mit Längen unter 2048 Bit einstellen wird. Dadurch sollen TLS-Serverauthentifizierungen potenziell viel sicherer werden, da zukünftige Windows-Versionen alte, veraltete und potenziell bösartige Websites und andere webbasierte Anwendungen blockieren sollen.
Dieses Update war längst überfällig, da aktuelle moderne Standards und sicherheitsbasierte Best Practices mindestens einen 2048-Bit-RSA (Rivest–Shamir–Adleman) oder einen 256-Bit-ECDSA (Elliptic Curve Digital Signature Algorithm) kryptografischen Schlüssel empfehlen.
Im Vergleich zu einem 1024-Bit-RSA-Schlüssel, der eine Sicherheitsstärke von 80 Bit bietet, bietet ein 2048-Bit-Schlüssel eine Stärke von 112 Bit und "mehr" bedeutet in diesem Fall besser.
Auf seiner Website erläutert Microsoft die Aktualisierung:
TLS- und RSA-bezogene Updates sind nicht die einzigen Sicherheitsänderungen, die Microsoft geplant hat. Das Unternehmen hat kürzlich auch angekündigt, seine Secure Boot-Schlüssel aus der Windows 8-Ära zu aktualisieren. In jüngster Zeit schlug der Technologieriese vor, dass möglicherweise ein sicherer TPM-ähnlicher Sicherheitschip eingeführt wird, vielleicht etwas wie Pluton. Unterdessen erhält der Windows-Kernel auch ein rustiges Makeover für eine bessere Speichersicherheit.Die Unterstützung für Zertifikate, die RSA-Schlüssel mit Längen von weniger als 2048 Bit verwenden, wird veraltet sein. Internetstandards und Regulierungsbehörden haben die Verwendung von 1024-Bit-Schlüsseln im Jahr 2013 untersagt und ausdrücklich empfohlen, dass RSA-Schlüssel eine Länge von 2048 Bit oder mehr haben sollten. Diese Veraltungsmaßnahme konzentriert sich darauf sicherzustellen, dass alle RSA-Zertifikate, die für TLS-Serverauthentifizierung verwendet werden, Schlüssellängen haben müssen, die größer oder gleich 2048 Bit sind, um von Windows als gültig betrachtet zu werden. Bei TLS-Zertifikaten, die von Unternehmens- oder Testzertifizierungsstellen (CA) ausgestellt wurden, hat diese Änderung keine Auswirkungen. Wir empfehlen jedoch, dass sie zu RSA-Schlüsseln aktualisiert werden, die größer oder gleich 2048 Bit sind, als Sicherheitsbewusstsein bewährter Praxis. Diese Änderung ist erforderlich, um die Sicherheit von Windows-Kunden bei der Verwendung von Zertifikaten für Authentifizierung und kryptografische Zwecke zu gewährleisten.
Zusammenfassung
- Microsoft konzentriert sich darauf, Windows zu einem sichereren Betriebssystem zu machen.
- Microsoft hat TLS 1.0 und 1.1 auf kommenden Windows-Versionen veraltet gemacht.
- Microsoft hat das Ende der Unterstützung von TLS 1.0 und 1.1 für Azure Storage Accounts angekündigt.
- Microsoft wird bald die Unterstützung von RSA-Schlüsseln kürzer als 2048 Bits einstellen.
- Neben TLS- und RSA-bezogenen Updates implementiert Microsoft verschiedene Sicherheitsänderungen und -aktualisierungen.
Quelle: neowin.net