While yesterday was Patch Tuesday, Microsoft didn't just release fixes for security vulnerabilities. It also announced moves to improve the cryptographic integrity of Windows as a platform.
First, Microsoft officially began discontinuing the use of the RC4 cipher. With the introduction of Windows 8.1 and Internet Explorer 11, MS products now default to TLS 1.2 and support for the RC4 cipher has been dropped.
The use of RC4 has been a bit controversial as it has many known weaknesses and calls for its retirement have been discussed for some time.
The problem is stream ciphers like RC4 were one the primary defenses used by many websites against the infamous BEAST and Lucky Thirteen attacks.
Fortunately TLS 1.2 and AES-GCM are not vulnerable to these attacks and can now officially be considered mainstream.
Not running Windows 8.1 with Internet Explorer 11? Google Chrome, Firefox, Safari and Opera also support TLS 1.2.
Microsoft also provides a mechanism to disable the use of RC4 in Windows 7, 8, RT, Server 2008 R2 and Server 2012.
With Microsoft on board, hopefully we can bid goodbye to old versions of SSL and TLS for good.
Microsoft's second announcement was that beginning on January 1, 2016 Windows will no longer support the use of X.509 certificates issued using the SHA-1 hashing algorithm for SSL and software code signing.
SHA1-SHA2-170This is a welcome proactive move by Microsoft after having been burned when MD5 certificates were abused through a collision in the Flame malware last year.
MD5 was considered weak for many years, but still supported by Windows because many certificate authorities were lax in updating and still issuing valid MD5 certificates long after they should have.
Microsoft seems to realize its job is to use its dominant market presence to lead, not follow. While SHA-1 is significantly stronger than MD5 was when it was dropped, Microsoft is dropping support before it is abused.
Be sure your certificates are using SHA-2 from here forward and when you renew your certificates make sure your Certificate Authority isn't setting you up to fail in January 2016.
ในขณะที่เมื่อวานนี้เป็นแพทช์อังคาร, ไมโครซอฟท์ไม่ได้เพียงแค่ปล่อยการแก้ไขสำหรับช่องโหว่ความปลอดภัย ก็ยังประกาศย้ายในการปรับปรุงความสมบูรณ์ของการเข้ารหัสลับของหน้าต่างเป็นแพลตฟอร์ม.
ครั้งแรกที่ไมโครซอฟท์อย่างเป็นทางการเริ่มหยุดการใช้ตัวเลข rc4 ด้วยการแนะนำของหน้าต่าง 8.1 และ Internet Explorer 11 ผลิตภัณฑ์มิลลิวินาทีในขณะนี้เริ่มต้นที่ TLS, 12 และการสนับสนุนสำหรับตัวเลข rc4 ได้รับลดลง.
ใช้ rc4 ได้รับบิตแย้งเนื่องจากมีจุดอ่อนที่รู้จักกันจำนวนมากและเรียกร้องให้มีการเกษียณอายุที่ได้รับการกล่าวถึงบางครั้ง.
ปัญหาคือยันต์กระแสเช่น rc4 ถูก หนึ่งในการป้องกันหลักที่ใช้โดยเว็บไซต์จำนวนมากกับสัตว์น่าอับอายและโชคดีที่สิบสามโจมตี.
โชคดี TLS 12 และ AES-gcm จะไม่เสี่ยงต่อการโจมตีเหล่านี้และขณะนี้อย่างเป็นทางการได้รับการพิจารณาเป็นหลัก.
ไม่ได้ใช้ Windows 8.1 กับ Internet Explorer 11? google chrome, Firefox, ซาฟารีและโอเปร่ายังสนับสนุน TLS 1.2.
ไมโครซอฟท์ยังมีกลไกในการปิดการใช้งานของ rc4 ใน Windows 7, 8, RT, Server 2008 R2 และเซิร์ฟเวอร์ 2012.
ด้วยไมโครซอฟท์บนเรือหวังว่าเราสามารถเสนอราคาลากับรุ่นเก่าของ SSL และ TLS, ดี.
ประกาศไมโครซอฟท์ที่สองก็คือจุดเริ่มต้นที่ 1 มกราคม 2016 หน้าต่างจะไม่สนับสนุนการใช้ใบรับรอง x.509 ออกโดยใช้ขั้นตอนวิธี hashing Sha-1 สำหรับ SSL และรหัสซอฟแวร์การลงนาม.
sha1-sha2-170this เป็นไปในเชิงรุกต้อนรับโดยไมโครซอฟท์หลังจากที่ได้รับการเผาไหม้เมื่อใบรับรอง md5 ถูกทารุณกรรมผ่านการชนกันในมัลแวร์เปลวไฟของปีก่อน.
md5 ถือว่าอ่อนแอมานานหลายปี แต่ยังคงได้รับการสนับสนุนโดยหน้าต่างเพราะเจ้าหน้าที่ใบรับรองหลาย ก็หละหลวมในการปรับปรุงและยังคงออกใบรับรอง md5 ที่ถูกต้องเป็นเวลานานหลังจากที่พวกเขาควรจะมี.
ไมโครซอฟท์น่าจะตระหนักถึงการทำงานของมันคือการใช้การตลาดที่โดดเด่นในการเป็นผู้นำที่ไม่ปฏิบัติตาม ในขณะที่ Sha-1 อย่างมีนัยสำคัญมากขึ้นกว่า md5 เมื่อมันถูกทิ้งไมโครซอฟท์ลดลงการสนับสนุนก่อนที่จะถูกทำร้าย.
ให้แน่ใจว่าใบรับรองของคุณจะถูกใช้ Sha-2 จากที่นี่ไปข้างหน้าและเมื่อคุณต่ออายุใบรับรองของคุณให้แน่ใจ ISN การรับรองของคุณ 't ตั้งค่าที่คุณขึ้นที่จะล้มเหลวในมกราคม 2016
การแปล กรุณารอสักครู่..
![](//thimg.ilovetranslation.com/pic/loading_3.gif?v=b9814dd30c1d7c59_8619)