【NIST】【2025年9月】发布《Addressing Visibility Challenges with TLS 1.3 within the Enterprise》;该文件的目的是:解决企业采用TLS 1.3后,其前向保密特性导致原有TLS 1.2被动解密可见性方法失效的问题,帮助企业在使用TLS 1.3时保持网络流量可见性以满足安全监控、合规等需求。该文件内容包括:一是提出三种标准兼容的可见性解决方案,即被动检查用有界生命周期Diffie-Hellman(DH)密钥、被动检查用导出会话密钥、用中间盒的主动检查(break and inspect);二是详细说明各方案的实验室构建组件(如TLS服务器、网络分流器、密钥管理平台等)及配置;三是通过故障排除、性能监控、威胁分类/取证、合规监控等场景演示功能有效性。该文件的结论是:所有演示均达到预期结果,验证了这些方法能在不修改TLS 1.3协议的情况下,实现实时和事后的流量可见性。该文件建议:企业迁移到TLS 1.3时采用这些方法,同时需保护存储的会话密钥和日志,参考NIST风险管理层架(如SP 800-37)及日志管理指南(如SP 800-92)评估风险。
