文章目录
故事前言
最近接到了一个安全漏洞:ssl weak ciphers
。一开始接到这个漏洞讲真,觉得一脸懵逼。发现触及知识点盲区了。。没办法,那我们一步一步去解剖。
首先这个问题在网上查阅时候,大多数都会带上 TLS/SSL ciphers
。所以这里也一起讲解一下。
知识储备
什么是 TLS
TLS定义
TLS(Transport Layer Security,安全传输层),一种加密协议。TLS是建立在传输层TCP协议之上的协议,服务于应用层,它的前身是SSL(Secure Socket Layer,安全套接字层),以SSL 3.0 作为基础版。它实现了将应用层的报文进行加密后再交由TCP进行传输的功能。
TLS如何工作
TLS可以用于传输层安全协议(例如TCP)之上。TLS包含三个主要组件:加密,身份验证和完整性。
- 加密:隐藏从第三方传输的数据。(通过加密方式实现)
- 认证:确保交换信息的各方是他们声称的身份。(双方认证证书)
- 完整性:验证数据是否未被伪造或篡改。(MAC 地址)
TLS握手过程
sequenceDiagram
Client->>Server:ClientHello
Server->>Client:ServerHello
Server-->>Client:SendCertificate、Request Cert