Microsoft chính thức loại bỏ giao thức TLS 1024-bit

Trong vài năm qua, Microsoft đã đưa ra nhiều thông báo liên quan đến việc hỗ trợ giao thức TLS (Transport Layer Security) trên Windows. Phần lớn trong số đó tập trung vào kế hoạch hạn chế sự hiện diện của các phiên bản TLS quá cũ, vốn chứa đựng vô số lỗ hổng bảo mật, từ đó giúp Windows trở thành một hệ điều hành an toàn hơn.

TLS (Transport Layer Security) là giao thức được dùng để mã hóa giữa các kết nối mạng trực tuyến. Nó được sử dụng rộng rãi trên Internet để bảo vệ các giao tiếp dữ liệu giữa các máy tính và máy chủ, bao gồm cả trang web, email và các dịch vụ mạng khác. Ví dụ, giao thức này tạo ra một kênh mã hóa để dữ liệu gửi và nhận tới các website được mã hóa và bên thứ 3 không thể truy cập.

Tuy nhiên, các phiên bản phiên bản TLS lỗi thời, chẳng hạn như TLS 1.0 và 1.1 (xuất hiện cách đây 20 năm), không còn phù hợp với nhu cầu sử dụng hiện tại và chứa đựng nhiều lỗ hổng bảo mật có thể bị khai thác.

Những thay đổi gần đây nhất có liên quan đến việc ngừng hỗ trợ TLS 1.0 và 1.1 trên Windows mà (tháng 8 năm 2023), và đối với tài khoản lưu trữ Azure (đầu năm 2024). Đến hôm nay, Microsoft hiện tiếp tục thông báo rằng họ sẽ sớm chấm dứt hỗ trợ cho các khóa RSA có độ dài ngắn hơn 2048-bit để xác thực máy chủ TLS, vì các phiên bản Windows trong tương lai sẽ chặn các trang web cũ, lỗi thời và có khả năng chứa mã độc hại cũng như các trang web dựa trên ứng dụng khác.

Bản cập nhật này đã quá hạn từ lâu vì các tiêu chuẩn bảo mật hiện tại thường khuyến nghị ít nhất khóa mật mã RSA (Rivest–Shamir–Adleman) 2048-bit hoặc khóa mật mã ECDSA (Elliptic Curve Digital Signature Algorithm) 256-bit.

So với khóa RSA 1024-bit, vốn chỉ cung cấp cường độ bảo mật 800bit, khóa 2048-bit cung cấp cường độ 112-bit và trong trường hợp này thì nhiều bit hơn có nghĩa là tốt hơn. Thay đổi của Microsoft chủ yếu là để đảm bảo rằng tất cả chứng chỉ RSA được sử dụng để xác thực máy chủ TLS phải có độ dài khóa lớn hơn hoặc bằng 2048 bit thì mới đủ an toàn và được Windows coi là hợp lệ.

Chứng chỉ TLS do doanh nghiệp hoặc cơ quan chứng nhận kiểm tra (CA) cấp không bị ảnh hưởng bởi thay đổi này. Tuy nhiên, Microsoft khuyến nghị người dùng nên cập nhật lên khóa RSA lớn hơn hoặc bằng 2048 bit như một phương pháp bảo mật tối ưu nhất. Thay đổi này là cần thiết để bảo vệ tính bảo mật của khách hàng Windows sử dụng chứng chỉ cho mục đích xác thực và mã hóa.

Các cập nhật liên quan đến TLS và RSA không phải là những thay đổi bảo mật duy nhất mà Microsoft đã lên kế hoạch thực hiện. Công ty gần đây đã thông báo rằng họ đang cập nhật các khóa Khởi động an toàn thời Windows 8, đồng thời gợi ý rằng có thể sẽ giới thiệu thêm nhiều loại chip bảo mật tương tự TPM, có lẽ giống như Pluton.