Microsoft zaostrza wymogi dotyczące certyfikatów TLS

Microsoft ogłosił w marcu, że certyfikaty TLS z słabymi kluczami RSA będą uznawane za przestarzałe. Firma teraz precyzuje te informacje.

Certyfikaty TLS używane do uwierzytelniania serwerów mają stać się bezpieczniejsze, zgodnie z zaleceniami Microsoftu. W Windows Message Center firma podkreśla, że z tego powodu certyfikaty z słabymi kluczami RSA są uznawane za przestarzałe.

Na blogu Windows IT Pro Microsoft informuje, że zmiana zostanie wprowadzona w systemach operacyjnych Windows później w tym roku. Dotyczyć będzie certyfikatów TLS do uwierzytelniania serwerów, które są zatwierdzone w programie Microsoft Trusted Root. Wyjątki nadal obowiązują: certyfikaty TLS od Enterprise lub Test Authorities (CAs) nie są objęte zmianą.

Do tej pory możliwe było używanie krótkich kluczy RSA w certyfikatach TLS do uwierzytelniania serwerów, które służą do weryfikacji serwera wobec klienta w celu nawiązania bezpiecznego połączenia. Microsoft dalej tłumaczy, że do tej pory dopuszczalna była minimalna długość klucza RSA wynosząca 1024 bity, która teraz jest uznawana za niewystarczającą biorąc pod uwagę postępy w mocy obliczeniowej i technikach kryptoanalizy. W ostatnim kwartale tego roku praktyka ta zostanie zaniechana.

Firma wskazuje, że od 2012 roku zachęcała klientów do rezygnacji z kluczy RSA krótszych niż 1024 bity. W 2012 roku amerykański NIST zalecił, by nie stosować już kluczy RSA o długości 1024 bitów. Microsoft dostosował te zalecenia w 2016 roku, zaczynając od dłuższych kluczy. Od kwietnia 2024 roku nowy zalecany standard jest dostępny dla uczestników programu Windows Insider. Status „przestarzały” ma zostać wprowadzony później w tym roku, aby zharmonizować z najnowszymi standardami internetowymi i regulacjami.

Status „przestarzały” oznacza, że nie będzie już dalszego aktywnego rozwoju tej funkcji, a w przyszłych wydaniach zostanie ona całkowicie usunięta. Do czasu jej usunięcia funkcja będzie jeszcze wspierana. Po usunięciu nie będzie już wspierana i może przestać funkcjonować.

W odpowiedzi na niedawne krytyki ze strony amerykańskiej agencji do spraw cyberbezpieczeństwa CISA dotyczące zaniedbań w zakresie bezpieczeństwa w Microsoft i ogłoszenie przez firmę, że bezpieczeństwo stanie się jej priorytetem numer jeden, Microsoft stwierdza: „Jeśli używasz Windows lub Azure, wiedz, że naszym priorytetem jest bezpieczeństwo. Microsoft dba o to, by Twoja firma była bezpieczna i efektywna. Wraz z postępem technologicznym istnieje ryzyko złamania słabszych długości kluczy. Aby zapobiec temu scenariuszowi, podejmujemy środki zapobiegawcze.”

RSA nie zostanie całkowicie wycofane, ale minimalna długość klucza zostanie zwiększona do 2048 bitów. Microsoft zaleca operatorom serwerów przejście na nowe certyfikaty TLS do uwierzytelniania serwerów z kluczami RSA o długości 2048 bitów lub większej dla wszystkich aplikacji i usług.