放弃使用sslv2,sslv3协议,请使用tlsv1.2,tlsv1.1版本

最新推荐文章于 2024-05-15 12:00:00 发布
最新推荐文章于 2024-05-15 12:00:00 发布
阅读量1.2w 收藏 1
点赞数
文章标签: https 网站
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bianzhuang09/article/details/104711672
版权

推荐一个网站测试网站的https的安全性: https://myssl.com。比如测试下面的网站如下:

评级只有5,myssl给的理由为:服务器易受到POODLE漏洞攻击,降级为5。POODLE漏洞为使用了不安全的sslv2和sslv3协议导致, 将协议去掉了,评级还是为5。后面测试原来是由于该服务器的其他站点仍支持sslv2,sslv3导致。于是去掉sslv2和sslv3协议的支持后:

这里升级的原因,主要还是用更高的标准要求,也许百度等引擎对安全级别更高的站点会比安全级别低的站点青睐些吧,否则好的东西不鼓励,那没法玩了。

如果你也需要配置, 请参考myssl.com的测试参考配置:

配置指南:

1. 需要配置符合PFS规范的加密套件,推荐配置:
ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4:!DH:!DHE ;

2. 需要在服务端TLS协议中启用TLS1.2,推荐配置:TLSv1 TLSv1.1 TLSv1.2 ;

3. 需要保证当前域名与所使用的证书匹配;

4. 需要保证证书在有效期内;

5. 需要使用SHA-2签名算法的证书;

6. 需要保证证书签发机构是可信的CA机构。

7. HSTS(HTTP严格传输安全)的 max-age 需要大于15768000秒。

 

奋力向上游
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ssl漏洞检查
05-24
SSL漏洞 使用工具testssl.sh 服务 ssl 测试单个主机上的所有内容并输出到控制台 ./testssl.sh -e -E -f -p -y -Y -S -P -c -H -U TARGET-HOST 测试单个主机上的所有内容并输出到HTML ./testssl.sh -e -E -f -p -y -Y -S -P -c -H -U TARGET-HOST | aha> OUTPUT-FILE.html 测试子网上的所有主机并输出到HTML ./testssl.sh -e -E -f -p -y -Y -S -P -c -H -U 192.168.1.0/24 | aha> OUTPUT-FILE.html 与上述相同,但只列举每个服务器支持的密码类型: ./testssl.sh -E 192.168.1.0/24 | aha> OUTPUT-FILE.html Ssl证书过期 查看证书过期时间 SWEET32(CVE-2016-2183) ./testssl.sh --ciphers TARGET DROWN(CVE-2016-0800) ./testssl.sh -D TARGET FREAK(CVE-2015-0204) ./testssl -F TARGET Logjam(CVE-2015-4000) ./testssl.sh -J TARGET Heartbleed(CVE-2014-0160) ./testssl.sh -B 10.0.1.159 POODLE SSLv3(CVE-2014-3566) ./testssl.sh -O 10.0.1.159 CCS注入漏洞(CVE-2014-0224) ./testssl.sh -I TARGET POODLE TLS(CVE-2014-8730) ./testssl.sh -O 10.0.1.159 BREACH(CVE-2013-3587) ./testssl.sh -T TARGET RC4 CVE-2013-2566 ./testssl.sh -E TARGET Renegotiation(CVE-2009-3555) ./testssl.sh -R 10.0.1.159
HTTPSSSL证书在服务端TLS协议中启用TLS1.2的小工具,推荐配置:TLSv1 TLSv1.1 TLSv1.2
01-15
TLS 1.2是目前广泛使用的标准,因为它提供了更好的安全性和性能,相较于早期的TLS 1.0和1.1版本,可以有效防止多种已知的安全漏洞。 在Windows服务器上启用TLS 1.2涉及以下步骤: 1. **检查当前TLS版本**:打开...
SSL/TLS常见漏洞检测及修复方法
baidu_38844729的博客
03-26 1万+
漏洞介绍及修复方法 1.poodle漏洞 漏洞利用了SSLv3处理填充字节的方式(密码块链接)CBC操作模式,该缺陷允许中间人(MiTM)攻击者在少于256个SSLv3连接中解密密文的所选字节,攻击者可利用此漏洞绕过服务器加密机制直接获取用户数据。 修复方法:禁用sslv3.0协议 2.心脏滴血漏洞 (CVE-2014-0160) 主要出现在openSSL处理TLS心跳的过程中,TLS心跳的流程是...
信息服务上线渗透检测网络安全检查报告和解决方案4(网站风险等级评定标准、漏洞危害分级标准、漏洞安全建议)
最新发布
m0_59598029的博客
05-15 1720
漏洞扫描是指对网络应用、服务器等进行全面的安全检测,以发现其中存在的安全漏洞,从而及时修复,确保网络系统的安全性。一种常见的漏洞扫描方法是黑盒测试,即对系统进行模拟攻击来发现潜在的漏洞风险。以下是一些常用的扫描工具:Nessus:开源的漏洞扫描工具,可用于扫描多种操作系统和应用程序漏洞,并提供了详细的用户和管理员报告。Acunetix:自动化的漏洞扫描工具,支持扫描 Web 应用、网络、API 等,能够发现多种漏洞类型。
SSL Version 3 and 2 and TLS Version 1.1 and TLS Version 1.0 Protocol Detection
weixin_40133285的博客
04-26 7896
SSL Version 2 and 3 Protocol Detection and TLS Version 1.1 Protocol Deprecated and TLS Version 1.0 Protocol Detection 操作系统版本:Windows Server 2012 R2 前言:若原有使用TLS1.2版本,则注册表修改后即可生效,若原有未使用TLS1.2版本但封禁了可使用SSL/TLS版本,则会导致SSL/TLS连接无法建立,重启后方生效。 The remote service ac
第三方对接时,协议版本TLSv1.2或TLSv1.1与自己系统的协议版本TLSv1.0不兼容
weixin_44678330的博客
07-13 854
tlsv1.1 java6_[OpenSSL] TLSv1.2了解
weixin_39553272的博客
02-28 224
问题:项目系统使用的存储系统SSL/TLS版本升级至1.2,导致本系统无法与存储系统建立SSL连接。使用相同的keystore,客户端使用JDK8,可与对方系统TCP握手成功建立ssh connection。但若客户端使用JDK6,则无法TCP握手成功。分析root cause是说JDK6(低版本中)缺少一个加密算法以支持TLS1.2协议通讯。相关知识查询:Transport Layer Secu...
【禁用SSL3.0】window服务器禁用默认的ssl2.0和ssl3.0只启用启用tls1.2保证安全
Zola的博客
01-13 3207
有两种方式 1.直接修改注册表; 2.使用iis工具直接修改。 https说明: SSL/TLS 系列中有五种协议SSL v2SSL v3TLS v1.0,TLS v1.1和TLS v1.2: SSL v2 是不安全的,不能使用。 当与 HTTP(POODLE 攻击)一起使用时,SSL v3 是不安全的,当与其他协议一起使用时,SSL v3 是弱的。它也是过时的,不应该被使用TLS v1.0 也是不应该使用的传统协议,但在实践中通常仍然是必需的。其主要弱点(BEAST)在现代浏览器中得到缓解,但其
SharpTLSScan:扫描服务器以获取受支持的SSLTLS版本以及密码套件。 同时检查服务器的证书。 支持SSLv2-TLSv1.2
04-29
已在5年内进行了更新,因此不支持TLS 1.1或1.2,这就是我编写此工具的原因。 您可以在此处下载源代码,也可以从我的博客获取可执行文件 更新到v1.3。 由于Poodle,将所有SSLv3更改为YELLOW。 删除了“正在使用...”...
TLSv1.2&DTLSv1;.2介绍
03-05
TLS的前身是网景公司(NetScape)开发的基于TCP的SSL协议(Secure Socket Layer),SSL有三个版本,IETF在SSLv3.0的基础上,制定了TLS1.0规范,目前已经演进到TSLv1.2版本(RFC5246) 本胶片介绍RFC5246 TLSv1.2规范,...
解决QT5.12.6使用32位MinGW编译器无法使用SSL协议问题.zip
05-15
这两个文件是OpenSSL库的一部分,OpenSSL是一个强大的安全套接层密码学库,包含了各种安全协议,包括SSLv2/v3以及TLSv1等多个版本。 `libcrypto-1_1.dll`是OpenSSL中的加密库,包含了用于加密、解密、哈希计算和...
Win32OpenSSL-3_0_1andWin32OpenSSL-1_0_2.rar
01-11
OpenSSL 1.0.2版本支持广泛的加密算法和协议,包括SSLv3TLSv1.0、TLSv1.1和TLSv1.2。对于那些依赖旧版API或者需要与旧系统交互的项目,1.0.2版本可能是更好的选择。然而,值得注意的是,OpenSSL 1.0.2不再接收安全...
SSL TLS版本问题
u011695973的博客
09-26 986
.net框架的默认协议: NET Framework 4.5 and 4.5.1: SSLv3 and TLSv1 NET Framework 4.5.2: SSLv3, TLSv1, and TLSv1.1 NET Framework 4.6 and higher: TLSv1, TLSv1.1, and TLS1.2 如果服务器协议有限制或者升级,需要修改代码中的协议。 System.Net.ServicePointManager.SecurityProtocol = SecurityProt
SSLScan:SSL版本检测与密码套件
xiaoWhite_meng的博客
07-13 1万+
2017-09-22 10:12 来源:黑白之道 AR 原标题:SSLScan:SSL版本检测与密码套件项目主页https://github.com/rbsec/sslscan简介sslscan是一个高效的Ç程序,它允许你检测SSL版本和加密套件(包...
SSL v2.0检测
芒果黑的博客
07-16 1238
SSLv2早就被证实是存在漏洞不安全的,当前的浏览器都不支持SSLv2站点的访问。通过对站点SSLv2协议检测来判断该站点是否是安全的,在新版的opensslssl握手协议中也移除了SSLv2部分的内容,如果有用openssl来实现ssl v2检测,只能用老版本。或者通过其他库来实现。查找了c/c++ ssl相关的库,如mbedtls、wolfSSL发现都不支持SSLv2检测,其中mbedtls版本是server端支持v2检测,client端不支持。通过网上查找,找到python的库是可以支持的,
版本SSL/TLS将被弃用,如何应对?
Rudon滨海渔村的博客
08-11 1万+
版本SSL/TLS将被弃用,如何应对? 前言: 很长时间,公司都是使用authorize.net在线支付方案,最近收到通知,说'TLS Disablement Date Extended',明年2018年将会不支持旧版本TLS v1.1 v1.0和更旧的SSL。Sorry,什么东东? 本文适用环境:Linux VPS,PHP 5,Apache、Mysql、HTTPS证书
马上:安卓5.0以下系统兼容 TLSv1.1 TLSv1.2
Extra Lazy的博客
01-04 1万+
马上:安卓5.0以下系统兼容 TLSv1.1 TLSv1.2 最近在不知情下,运维升级https证书级别为1.2,导致了安卓5.0以下的设备无法上网(接口证书错误),安卓7.12设备可以访问 查阅官方文档 SSLSocket 借一个表格说明问题: Protocol Supported (API Levels) Enabled by default (API Levels) SSLv3 1–25 1–22 TLSv1 1+ 1+ TLSv1.1 16+ 20+ TLSv1.2
window服务器禁用默认的ssl2.0和ssl3.0只启用启用tls1.2保证安全
热门推荐
这么多柠檬c
05-23 5万+
因为有需要使用ssl但是部署后发现服务器默认使用ssl2!有两种方式,一种直觉修改注册表,另一种使用iis工具直觉修改。简单粗暴!https说明:SSL/TLS 系列中有五种协议SSL v2SSL v3TLS v1.0,TLS v1.1和TLS v1.2:SSL v2 是不安全的,不能使用。当与 HTTP(POODLE 攻击)一起使用时,SSL v3 是不安全的,当与其他协议一起使用时,S...
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】
u010791288的博客
07-28 302
SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)【原理扫描】SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱【原理扫描】SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)【原理扫描】
如何检查目标服务器否支持 SSLv3/TLSv1.0/TLSv1.1
05-12
您可以使用 OpenSSL 命令行工具来检查目标服务器是否支持 SSLv3/TLSv1.0/TLSv1.1。以下是命令示例: 检查 SSLv3 支持: ``` openssl s_client -connect example.com:443 -ssl3 ``` 检查 TLSv1.0 支持: ``` openssl s_client -connect example.com:443 -tls1 ``` 检查 TLSv1.1 支持: ``` openssl s_client -connect example.com:443 -tls1_1 ``` 如果连接成功,说明服务器支持相应的协议;如果连接失败,说明服务器不支持相应的协议替换 example.com 为目标服务器的域名或 IP 地址。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值