Red Hat Training

A Red Hat training course is available for RHEL 8

第 3 章 计划并使用 TLS

TLS(传输层安全)是用来保护网络通信的加密协议。在通过配置首选密钥交换协议、身份验证方法和加密算法来强化系统安全设置时,需要记住支持的客户端的范围越宽,进而降低由此产生的安全性。相反,严格的安全设置会导致与客户端的兼容性受限,这可能导致某些用户被锁定在系统之外。务必以最严格的可用配置为目标,且仅在出于兼容性原因需要时才放松。

3.1. SSL 和 TLS 协议

安全套接字层(SSL)协议最初由 Netscape Corporation 开发,以提供通过互联网进行安全通信的机制。因此,该协议被互联网工程任务组(IETF)采纳,并重命名为传输层安全(TLS)。

TLS 协议位于应用协议层和可靠的传输层,如 TCP/IP。它独立于应用程序协议,因此可在很多不同的协议下分层,如 HTTP、FTP、SMTP 等等。

协议版本用法建议

SSL v2

不要使用。具有严重的安全漏洞。从 RHEL 7 开始从核心加密库中删除。

SSL v3

不要使用。具有严重的安全漏洞。从 RHEL 8 开始的核心加密库中删除。

TLS 1.0

不建议使用。有无法以保证互操作性的方式缓解的已知问题,且不支持现代密码套件。仅在 系统范围的加密策略 配置集中启用。

TLS 1.1

在需要时用于互操作性.不支持现代加密套件。仅在 cri ACY 策略 中启用。

TLS 1.2

支持现代 AEAD 密码组合。此版本在所有系统范围的加密策略中启用,但此协议的可选部分包含漏洞,TLS 1.2 也允许过时的算法。

TLS 1.3

推荐的版本。TLS 1.3 删除了已知有问题的选项,通过加密更多协商握手来提供额外的隐私,由于使用了更有效的现代加密算法,可以更快地提供隐私。在所有系统范围的加密策略中也启用了 TLS 1.3。