SSL weak ciphers 漏洞修复过程

最新推荐文章于 2024-12-16 14:21:08 发布
最新推荐文章于 2024-12-16 14:21:08 发布
阅读量827 收藏 1
点赞数
文章标签: ssl https 网络 开发语言 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bluemoon_0/article/details/128667547
版权
本文介绍了SSL/TLS协议的基本概念、发展历程以及安全漏洞。针对SSL weak ciphers问题,提出了禁用SSL 2.0、SSL 3.0、TLS 1.0和TLS 1.1的解决策略,强调了禁用的原因和影响,提供了Nginx的配置示例,以增强系统安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

故事前言

最近接到了一个安全漏洞:ssl weak ciphers。一开始接到这个漏洞讲真,觉得一脸懵逼。发现触及知识点盲区了。。没办法,那我们一步一步去解剖。 首先这个问题在网上查阅时候,大多数都会带上 TLS/SSL ciphers。所以这里也一起讲解一下。

知识储备

什么是 TLS

TLS定义

TLS(Transport Layer Security,安全传输层),一种加密协议。TLS是建立在传输层TCP协议之上的协议,服务于应用层,它的前身是SSL(Secure Socket Layer,安全套接字层),以SSL 3.0 作为基础版。它实现了将应用层的报文进行加密后再交由TCP进行传输的功能。

TLS如何工作

TLS可以用于传输层安全协议(例如TCP)之上。TLS包含三个主要组件:加密,身份验证和完整性。

  • 加密:隐藏从第三方传输的数据。(通过加密方式实现)
  • 认证:确保交换信息的各方是他们声称的身份。(双方认证证书)
  • 完整性:验证数据是否未被伪造或篡改。(MAC 地址)

TLS握手过程

sequenceDiagramClient->>Server:ClientHelloServer->>Client:ServerHelloServer-->>Client:SendCertificate、Request CertificateServer->>Client:ServerHelloDoneClient->>Server:ClientKeyExchangeClient->>Server:ChangeCipherSpecClient->>Server:FinashedServer->>Client:ChangeCipherSpecServer->>Client:Finished

TLS 发展过程

  • 1995: SSL 2.0, 由Netscape提出,这个版本由于设计缺陷,并不安全,很快被发现有严重漏洞,已经废弃。
  • 1996: SSL 3.0. 写成RFC,开始流行。目前(2015年)已经不安全,必须禁用。
  • 1999: TLS 1.0. 互联网标准化组织ISOC接替NetScape公司,发布了SSL的升级版TLS 1.0版
  • 2006: TLS 1.1. 作为 RFC 4346 发布。主要修复了CBC模式相关的如BEAST攻击等漏洞
  • 2008: TLS 1.2. 作为 RFC 5246 发布 。增进安全性,目前应该主要部署的版本
  • 2015之后: TLS 1.3,还在制订中,支持0-rtt,大幅增进安全性,砍掉了aead之外的加密方式

什么是 SSL

其实就是上面说的 Secure Socket Layer,安全套接字层。位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用

最低0.47元/天 解锁文章
Weak SSL Version、SSL Weak Cipher Suites Supported
zenglingmin8的博客
05-28 2160
漏洞扫描结果: Severity:Medium Vulnerability:Weak SSL Version (SSLv2, SSL v3, TLS v1.0 and TLS v1.1)、SSL Weak Cipher Suites Supported 这个漏洞的原因就是ssl版本太低。 检查了自己架构之后,发现问题出在nginx上,于是对nginx的ssl版本进行调整。针对不同版本的nginx的ssl配置,参考: https://ssl-config.mozilla.org/#server=nginx&a
webInspect SprinBoot2.x安全整改
u011311291的博客
12-13 4820
都是基于Springboot2.x整改 一.Insecure Transport: Weak SSL Cipher Insecure Transport: Weak SSL Cipher(11285) Insecure Transport: Weak SSL Protocol(11516) Insecure Transport: Weak SSL Protocol(11395) 需要进行两步操作:...
脆弱的SSL加密算法漏洞原理以及修复方法
it知识分享 free for nothing..
01-02 7472
脆弱的SSL加密算法漏洞原理以及修复方法
脆弱的SSL加密算法漏洞原理以及修复方法_检测到目标服务支持ssl弱加密算法漏洞修复
2401_84139963的博客
04-09 3293
可以这样建立一个仅使用SSLv2协议及其密码算法的服务器:httpd.conf3、 如何建立一个仅接受强加密请求的SSL服务器:如下设置为仅使用最强的七种密码算法:httpd.conf4、 如何建立一个仅接受强加密请求的SSL服务器,而又允许对外浏览器使用更强的加密:这个功能被称为以服务器为网关的加密(Server Gated Cryptography[SGC]), 在README.GlobalID文档中有详细说明。
修复SSH服务支持弱加密算法漏洞
wangshui898的专栏
07-06 2369
老版本ssh服务支持弱加密算法漏洞
sslv3漏洞修复服务器端,SSL V3漏洞修复 网站SSL安全漏洞修复指南
weixin_42223667的博客
08-10 1109
Web网站的SSL漏洞主要包括如下几种:1、SSL RC4 Cipher Suites Supported2、SSL Weak Cipher Suites Supported3、TheFREAKattack(export cipher suites supported)4、The POODLE ataack(SSLV3 supported)5、SSL 2.0 deprecated protoc...
rc4加密问题漏洞修复_「ssl漏洞」网站SSL安全漏洞修复指南
weixin_32022555的博客
12-24 2360
前段时间对公司的网站进行了一下扫描,使用的是awvs扫描器,发现了几处SSL方面的安全漏洞,网上找了一些修复的建议,分享给大家,如果你也遇到和我一样的问题,可以用此修复。Web网站的SSL漏洞主要包括如下几种:1、SSL RC4 Cipher Suites Supported2、SSL Weak Cipher Suites Supported3、TheFREAKattack(export ci...
SSL Certificate Signed Using Weak Hashing Algorithm,使用弱哈希算法签名的 SSL 证书的解决方法,在docker下Nginx生成ssl证书https
weixin_40555654的博客
06-24 1万+
SSL Certificate Signed Using Weak Hashing Algorithm,使用弱哈希算法签名的 SSL 证书的解决方法,在docker下Nginx生成ssl证书https协议
网络安全(3)Window系统漏洞修复
最新发布
2401_88220102的博客
12-16 569
RC4 密码套件存在漏洞SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808),通过“受戒礼”攻击,攻击者可以在特定环境下只通过嗅探监听就可以还原采用 RC4 保护的加密信息中的纯文本,导致账户、密码、信用卡信息等重要敏感信息暴露,并且可以通过中间人(Man-in-the-middle)进行会话劫持。2、打开“本地组策略编辑器”-“计算机配置”-“管理模板”-“网络”-“SSL配置设置”, 在“SSL密码套件顺序”选项上,右键“编辑”。选择“端口”,点击“下一步”。
openssl漏洞检查修复
thinker
09-14 3537
TLS, SSH, IPSec协商及其他产品中使用的IDEA、DES及Triple DES密码或者3DES及Triple 3DES存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。链接:https://www.openssl.org/news/secadv/20160922.txt。链接:https://www.openssl.org/news/secadv/20160922.txt。重点:避免使用IDEA、DES和3DES算法。主要是修改conf文件。
漏洞复现】CVE-2004-2761:使用弱哈希算法签名的 SSL 证书(SSL Certificate Signed Using Weak Hashing Algorithm)
热门推荐
qq_43455906的博客
08-07 1万+
本次复现是针对编号为CVE-2004-2761的漏洞,由于条件有限,本次复现通过创建自签名证书进行操作。解决证书链中的 SSL 证书使用弱哈希算法进行签名的问题。
漏洞修复:Often Misused: Weak SSL Certificate
CutelittleBo的博客
01-28 3249
描述 WebInspect has identified a self-signed certificate served from the target server. Server certificates declare the public key of the server for use in transport layer security. Trusted third-party vendors known as Certificate Authority (CA) sign and iss
浅谈“脆弱的SSL加密算法“
→_→
07-06 8129
一:漏洞名称: 弱加密算法、脆弱的加密算法、脆弱的SSL加密算法、openssl的FREAK Attack漏洞 描述: 脆弱的SSL加密算法,是一种常见的漏洞,且至今仍有大量软件支持低强度的加密协议,包括部分版本的openssl。其实,该低强度加密算法在当年是非常安全的,但时过境迁,飞速发展的技术正在让其变得脆弱。黑客可利用SSL弱加密算法漏洞进行SSL中间人攻击,即强迫服务器和用户之间使用低强度的加密方式,然后再通过暴力破解,窃取传输内容。强度较弱的加密算法将不能较好的保证通...
SSL证书加密套件常见弱密钥以及修复建议
SSL加密技术
11-02 6311
服务器使用了anonymous套件 匿名加密套件检测(CVE-2007-1858),支持对SSL3.0、TLS1.0、TLS1.1、TLS1.2多种协议,19个ANON类加密套件,包含DES、AES、CAMELLIA和ARIA等算法。 TLS_DH_ANON_WITH_AES_256_GCM_SHA384 TLS_DH_ANON_WITH_AES_128_GCM_SHA256 TLS_DH_ANON_WITH_AES_256_CBC_SHA256 TLS_DH_ANON_WITH_AES_256_
修复Openssh漏洞:SSH Weak Ciphers And Mac Algorithms Supported
JeremyYu的博客
06-11 8585
我扫出来的漏洞报告中只有:SSH Weak Mac Algorithms Supported ,在找修复的方法的时候找到了 这篇文章 ,除了弱MAC之外还提到了弱Ciphers,所以就顺便把另一个也解决了。 只需要把报告中提到的几个加密算法取消即可 1.首先找到ssh服务端的配置文件,我的配置文件位于 /etc/ssh 文件夹下。编辑 sshd_config 文件。 2.添加如下配置,限制SSH
tomcat漏扫修复及调优
a120717的博客
06-30 5205
环境 Centos7 8G tomcat7 nessus漏扫修复 12085 - Apache Tomcat Servlet / JSP Container Default Files 删除tomcat/webapps/下example、doc、manager,(ROOT保留,内部只留下自定义的404页面) 35291 - SSL Certificate Signed...
Nginx配置SSL协议
lhd85的博客
07-04 2330
SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。 SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层: SSL记录协议(SSL Record Protocol
windows 远程连接mstsc到远程主机报:内部错误10010
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-05 5768
3、组策略编辑器(gpedit.msc)->管理模板->windows组件->远程桌面服务->远程桌面会话主机->安全->远程(RDP)连接要求使用指定的安全层,更改为“已启用”,下方安全层选择“RDP”。10、最小化启动尝试,msconfig打开系统配置,单击服务----勾选下面的“隐藏所有 Microsoft 服务”--------点击“全部禁用”。3、 copy E:\temp\完好副本 C:\windows\system32\损坏文件 //将损坏的系统文件替换为已知完好的文件副本。...
tls_weak_protocol漏洞修复
06-13
TLS_WEAK_PROTOCOL漏洞是指在使用TLS协议进行通信时,存在某些旧的、弱的加密算法和协议可以被攻击者利用,从而窃取通信内容或者伪造通信内容。要修复这个漏洞,可以采取以下措施: 1. 更新TLS协议版本。使用最新的TLS协议版本可以避免弱加密算法和协议的使用。 2. 禁用弱加密算法和协议。在TLS协议中,可以设置参数来禁用弱加密算法和协议,从而保证通信的安全性。 3. 更新TLS协议实现库。TLS协议实现库是指TLS协议的实现代码,不同的实现库可能存在不同的漏洞和问题,因此需要更新TLS协议实现库来修复漏洞。 4. 加强网络安全防护。除了修复漏洞外,还可以加强网络安全防护措施,例如加强入侵检测、加强访问控制等等,从而保证通信的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值