Red Hat Training

A Red Hat training course is available for RHEL 8

3.2. RHEL 8 中 TLS 的安全注意事项

在 RHEL 8 中,由于系统范围的加密策略,与加密相关的注意事项显著简化。The DEFAULT 加密策略仅允许 TLS 1.2 和 1.3。要允许您的系统使用早期版本的 TLS 协商连接,您需要选择不使用应用程序中的以下加密策略,或使用 update-crypto-policies 命令切换到 cri ACY 策略。如需更多信息,请参阅使用系统范围的加密策略

RHEL 8 中包含的库提供的默认设置足以满足大多数部署的需要。TLS 实施尽可能使用安全算法,而不阻止与旧客户端或服务器的连接。在具有严格安全要求的环境中应用强化设置,使不支持安全算法或协议的旧客户端或服务器不预期或允许连接。

强化 TLS 配置的最简单方法是使用 update-crypto-policies --set FUTURE 命令将系统范围的加密策略级别切换到 FUTURE

如果您决定不遵循 RHEL 系统范围的加密策略,请在自定义配置中使用以下建议进行首选协议、密码套件和密钥长度:

3.2.1. 协议

TLS 的最新版本提供了最佳安全机制。除非有充分的理由包含对旧版本的 TLS 的支持,请允许您的系统使用至少 TLS 版本 1.2 协商连接。请注意,虽然 RHEL 8 支持 TLS 版本 1.3,但 RHEL 8 组件并不完全支持此协议的所有功能。例如,Apache 或 Nginx web 服务器尚不完全支持 0-RTT(Zero R Trip Time)功能,它可降低连接延迟。