Office 365 TLS 弃用报告 - 准备 TLS 1.2 迁移

最近，微软宣布了一项重大更新：“我们将在 Office 365 中停用 3DES（三重数据加密标准）”。

3DES 密码主要用于 TLS/SSL 来加密 HTTPS 和 SSH 流量。自 2016 年以来，它因 SWEET32 攻击（攻击者恢复了使用 3DES 加密时的一小部分明文）而被标记为易受攻击，并计划在 2023 年之前完全弃用。为了提供数据安全，微软对 TLS 服务进行了更改。

在讨论如何规划 3DES 删除之前，我们先了解一下 TLS 以及 3DES 删除如何影响 TLS。

什么是 TLS？

传输层安全性 (TLS) 是一种加密协议，可通过网络提供安全通信。例如，网站使用 TLS 来保护其服务器和浏览器/客户端之间的所有通信。目前使用的 TLS 协议有四个版本：TLS 1.0、1.1、1.2 和 1.3。

为什么 Office 365 迁移到 TLS 1.2？

Microsoft 计划将其所有在线服务迁移到 TLS 1.2 或更高版本，以便为客户提供一流的加密。自 2019 年 2 月 28 日起，Microsoft 将开始停用 3DES。因此，如果您的连接当前使用 3DES 密码套件，则在禁用 3DES 密码套件时它们将会失败。 TLS 版本 1.0 和 1.1 包括基于 3DES 算法的密码套件。 Office 365 将于 2020 年 6 月 1 日起在全球和 GCC 环境中停用 TLS 1.0 和 1.1。因此，所有客户端-服务器和浏览器-服务器组合都必须使用 TLS 1.2 或 1.2+ 来维持与 Office 365 服务的连接。

随时了解即将推出的 Microsoft 365 变更和支持终止里程碑。

这对我有何影响？

Office 365 停止支持 TLS 1.0 和 1.1。因此，Microsoft 将不会修复使用 TLS 1.0/1.1 连接 Office 365 时发现的新问题。为了确保不间断地访问 Office 365 服务，您需要将 TLS 更新到 1.2 或更高版本。如果您想获取使用 TLS 1.0/1.1 的用户列表，可以使用 Microsoft 的 TLS 弃用报告。

2020 年 7 月更新：Microsoft 宣布将于 2020 年 10 月 15 日在 Office 365 中弃用 TLS 1.0 和 1.1。

由于新冠病毒大流行，Microsoft 暂时停止了 TLS 1.0 和 1.1 的弃用执行。现在，Microsoft 宣布了有关 TLS 1.0 和 1.1 弃用的更新。

Office 365 TLS 弃用报告：

为了简化您的工作，Microsoft 提供了一个新报告来跟踪使用 TLS 1.0/1.1 或 3DES 的用户、设备或应用程序。您需要成为租户管理员才能生成 TLS 弃用报告。报告提供以下信息

• 使用 TLS 1.0/1.1 或 3DES 连接到 Exchange 的用户/设备的用户名/IP 地址
• 用于连接的协议/密码 - 这将是 TLS 1.0/1.1 或 3DES
• 用于此连接的用户代理字符串 - 这提供了有关用于连接的设备类型的信息

要直接下载 TLS 弃用报告，您可以使用 Microsoft 的快速链接：https://servicetrust.microsoft.com/AdminPage/TlsDeprecationReport/Download。

或者，要通过 Microsoft 安全评分门户下载 TLS 弃用报告，请按照以下步骤操作。

步骤一：登录微软安全评分：https://securescore.office.com，点击“评分分析器”。

第 2 步：向下滚动到“所有操作”。在已完成的操作/未完成的操作中搜索“删除 TLS 1.0/1.1 和 3DES 依赖项”。如果您得分 5/5，则您已经迁移到 TLS 1.2。否则，您需要规划迁移。

步骤 3：单击“了解更多”按钮以获取有关谁使用 TLS 1.0/1.1 或 3DES 连接的详细信息。它将启动一个弹出窗口，您可以在其中单击“立即启动”。

步骤 4：“立即启动”将带您进入安全信任门户 (http://servicetrust.microsoft.com)。登录并单击“下载”以获取 TLS-Deprecation-Report.csv。或者您可以使用快速链接下载 Office 365 TLS 弃用报告。

步骤 5：如果您的用户或设备列在 TLS1.0/1.1 下，请开始规划升级。

TLS 弃用报告每天都会刷新。如果您进行了任何更改并更新了任何客户端/设备，则需要等待 24 小时才能在报告中看到此更改。

如前所述，您可以使用 TLS 弃用报告获取TLS 使用情况报告。如果您需要更详细的 Exchange Online 中 SMTP 的 TLS 使用情况报告，您可以使用安全与合规中心的 TLS 使用情况报告。

Exchange Online 中 SMTP 的 TLS 使用报告

电子邮件客户端使用不同的协议来提交电子邮件。 SMTP Auth（SMTP 验证提交）协议主要由代表客户发送自动消息的设备和应用程序使用。为了防止凭据泄露，SMTP 身份验证必须使用 TLS。因此，当禁用 TLS 1.0 时，无法从不支持 TLS 1.2 的设备或客户端发送任何消息。

您可以使用 SMTP 身份验证客户端报告了解哪些用户正在使用此协议、发送的邮件量以及用于连接 Office 365 的 TLS 版本。使用这些数据，您可以确定哪些客户端服务器仍在使用 TLS1.0 和 TLS1.1 连接到 Exchange Online 中的各种电子邮件协议终结点。

SMTP 身份验证客户端报告 - TLS 1.0 弃用

1.要下载 SMTP 身份验证客户端报告，您可以转到此处：“安全与合规性 > 邮件流 > 仪表板 - 用于 SMTP 身份验证客户端报告。”

或者，您可以直接使用链接：https://protection.office.com/mailflow/dashboard

2. 单击“SMTP Auth Clients”，它将显示 TLS 版本使用情况的数据透视表。

3. 单击“报告”链接，如上面的屏幕截图所示。

TLS 数据透视显示您的组织的 TLS 使用情况摘要。点击“查看详细信息表”。它将显示每个用户的 TLS 使用情况。

SMTP 身份验证客户端报告仅适用于与 SMTP 相关的邮件流和提交。对于其他协议，您需要参考 TLS 弃用报告。

如果您正在阅读此博客是因为您计划将 TLS 迁移到 1.2，那么您很可能已经阅读并执行了 Microsoft 指南来保护您的连接。如果是这样，请在评论部分分享您在 TLS 1.2 迁移过程中的经验/困难，以帮助其他管理员。

更新历史：

2019 年 7 月更新：“Office 365 将于 2020 年 6 月 1 日起在全球和 GCC 环境中停用 TLS 1.0 和 1.1”，这意味着使用 TLS 协议与 Office 365 的所有连接6 月 1 日之后，1.0 和 TLS 1.1 将不再工作。因此，您必须在 2020 年 6 月 1 日之前将客户端和设备迁移到 TLS 1.2 或 TLS 1.2+。

2020 年 4 月更新：由于新冠疫情爆发，Microsoft 已暂时停止弃用 TLS 1.0 和 1.1

2020 年 7 月更新：Microsoft 宣布 Office 365 中的 TLS 1.0 和 1.1 停用日期为 2020 年 10 月 15 日。

2021 年 11 月更新：从 2022 年 1 月 3 日起，Microsoft 将停止使用直接路由 SIP 接口的 TLS 1.0 和 1.1。

笔记 ：

• 要了解 Windows 支持哪些 TLS 版本的详细信息，请参阅：https://blogs.msdn.microsoft.com/kaushal/2011/10/02/support-for-ssltls-protocols-on-windows/
• 要了解浏览器支持哪些 TLS 版本的详细信息，请参阅：https://en.wikipedia.org/wiki/Transport_Layer_Security#Web_browsers