全面部署RSA+ECC双证书和TLS1.3提升通讯安全

发布者:发布时间:2020-03-19浏览次数:25

因原有SSL证书即将到期,趁此更新证书的机会,经过近一段时间的努力,已对本中心的所有HTTPS服务进行了调整,通过多种手段全面提升网络传输安全性。您只要使用最新的操作系统和浏览器即可最大程度的保证通讯安全,为了您的安全我一直在努力!


  1. ECC 256 和 RSA 2048 双证书:采用椭圆曲线加密算法的ECC证书密钥更短、加解密速度更快。ECC 256安全性等同于RSA 3072,高于广泛使用RSA2048的安全性。为了兼容老旧客户端所有HTTPS服务仍提供RSA 2048证书;

  2. TLS 1.3(Transport Layer Security):2018年发布的TLS 1.3是对TLS 1.2(2008年发布)重大改进,TLS 1.3去除了老旧的算法和有漏洞的机制、握手过程减半,变得更快更安全,而更老的TLS1.1和1.0将在2020年被四大浏览器取消支持。所有HTTPS服务均支持TLS 1.2和1.3协议,但为了兼容老旧客户端部分广泛服务(如Box、Mirrors、S3等)仍支持TLS 1.0和1.1协议;

  3. 前向保密(Forward Secrecy,FS):每一个连接都会生成一个临时密钥进行加密,连接结束密钥即被丢弃,哪怕主密钥泄露,过去的通讯仍然得到保护;

  4. HTTP严格传输安全协议(HTTP Strict Transport Security,HSTS):强制客户端直接采用HTTPS与服务器建立加密链接,强制拒绝不安全的链接;

  5. OCSP装订(OCSP Stapling):服务器将证书状态查询结果提供给客户端,客户端无须再验证证书有效性,速度更快而且避免了由于验证证书带来的隐私泄露;

  6. 证书透明度(Certificate Transparency,CT):通过一个公开的系统审核监控证书,确保证书真实有效,防止非法证书;

  7. 安全重协商(Secure Renegotiation):防止中间人将伪造的数据插入到用户真实的数据之前;

  8. 防止降级攻击(Downgrade attack prevention):防止客户端和服务器之间的加密协议被意外降级,预防人攻击,确保使用双方支持的最新协议。


 


注:sci.nju.edu.cn 不由本中心运维。