TLS

攻击案例

合规建议

  • 禁止使用低于TLS v1.2的旧版TLS。

  • 禁止选用含MD5/RC4/DES/SHA1等过时算法的TLS ciphersuite。

  • 禁止选用含CBC算法的TLS ciphersuite。

  • 禁止选用含TLS-RSA关键字,且不含PSK关键字的TLS ciphersuite。

  • 避免选用DHE的TLS ciphersuite,防范Weak DH的场景。

  • TLS是传输层安全协议,仅用TLS无法满足数据层加密的合规要求,应考虑选择数据信封等方案。

  • 推荐选用Mutual TLS,基于双向证书建立TLS安全信道。

参考资料