最近客户投诉说产品有TLS协议的低版本和弱密码的漏洞,本来我觉得直接到产品中修改就可以了,后来发现真的不是我想象的那样。因为产品因为性能通过阿里云的负载均衡SLB来控制这个TLS协议的。
1. TLS协议的可配置
通过上面的方式,可以进行配置上面的协议内容,但是发现上面的DES-CBC3-SHA ,但是找不到去掉这个弱密码的地方,测试了一下亚马逊云,发现112位弱密码已经彻底的从TLS协议中删除了,但TLS1.0弱协议还是存在的。
上面的表格可以看到AWS的这块加密协议根本没有112位的,同时可以进行可配置,但阿里的却不行。
提了工单给阿里云售后,给的回复是让我填写产品需求,但这明明是一个安全bug。
无语中,而且我问了即时填写了也是遥遥无期。
我看他这个漏洞到底什么时候能修复。。。。
如果对这个问题看的比较重,或者安全意识比较强的话,可选择AWS。。。