WindowsServer2012R2 SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱问题解决

最新推荐文章于 2024-04-22 09:03:25 发布
最新推荐文章于 2024-04-22 09:03:25 发布
阅读量5.2k 收藏 18
点赞数 2
分类专栏: 漏洞修复 文章标签: 运维 服务器
原文链接:https://www.cnblogs.com/luck666/p/10307345.html
版权

详细描述

安全套接层(Secure Sockets Layer,SSL),一种安全协议,是网景公司(Netscape)在推出Web浏览器首版的同时提出的,目的是为网络通信提供安全及数据完整性。SSL在传输层对网络连接进行加密。传输层安全TLS(Transport Layer Security),IETF对SSL协议标准化(RFC 2246)后的产物,与SSL 3.0差异很小。

当服务器SSL/TLS的瞬时Diffie-Hellman公共密钥小于等于1024位时,存在可以恢复纯文本信息的风险。

DHE man-in-the-middle protection (Logjam)

https://www.openssl.org/blog/blog/2015/05/20/logjam-freak-upcoming-changes/
https://weakdh.org/sysadmin.html
https://en.wikipedia.org/wiki/DiffieE28093Hellman_key_exchange#Security

解决办法

1、win+r打开运行窗口,输入gpediit.msc,按“确定”
在这里插入图片描述
2、计算机配置->网络->SSL配置设置->SSL密码套件顺序

在这里插入图片描述
3、右键->编辑,选择已启用,然后在SSL密码套件替换原先的
在这里插入图片描述
4、重启服务器
原先的:
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA,TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA,TLS_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_RC4_128_MD5,TLS_RSA_WITH_NULL_SHA256,TLS_RSA_WITH_NULL_SHA,SSL_CK_RC4_128_WITH_MD5,SSL_CK_DES_192_EDE3_CBC_WITH_MD5

替换的:
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_NULL_SHA256

转载:https://www.cnblogs.com/Excellent-person/p/12076565.html

vectorJ
关注
  • 2
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱
hongweibing1的专栏
11-21 1万+
详细描述 安全套接层(Secure Sockets Layer,SSL),一种安全协议,是网景公司(Netscape)在推出Web浏览器首版的同时提出的,目的是为网络通信提供安全及数据完整性。SSL在传输层对网络连接进行加密。传输层安全TLS(Transport Layer Security),IETF对SSL协议标准化(RFC 2246)后的产物,与SSL 3.0差异很小。  当服务
SSLTLS 服务器瞬时 Diffie-Hellman 公共密钥过弱【原理扫描】解决说明
weixin_33946605的博客
11-17 6994
一.  修改SSL密码套件 1.1  加固方法: 1.1.1  操作步骤: 第一步:按下' Win + R',进入"运行",键入" gpedit.msc",打开"本地组策略编辑器"。 第二步:打开计算机配置->管理模板->网络->SSL配置设置。 第三步:在"SSL密码套件顺序"选项上,右键"编辑"->在"SSL密码套件顺序"选在
SSLTLS 服务器瞬时 Diffie-Hellman 公共密钥过弱【原理扫描】 .txt
08-07
解决漏洞-亲测好用】SSLTLS 服务器瞬时 Diffie-Hellman 公共密钥过弱
Windows Server 2012 R2 中 IIS 8.5 部署证书
最新发布
又菜又爱玩的小熊
04-22 1210
证书签发邮件中的从BEGIN 到 END 结束的服务器证书内容(包括 “-----BEGIN CERTIFICATE-----” 和 “-----END CERTIFICATE-----”)粘贴到记事本等文本编辑器中,并修改文件扩展名,保存为server.cer文件。证书文件会有证书信息、中级证书、交叉证书等(需要按顺序倒序排放。
服务器瞬时 Diffie-Hellman 公共密钥过弱
Be a Man Keep fighting for destination
04-01 1712
做CAS 用到了SSL,重装了系统,重装了更高级的谷歌浏览器之后一直出现这个 ‘服务器瞬时 Diffie-Hellman 公共密钥过弱’ 错误, 我使用的是TOMCAT   在    clientAuth="false"  上面加入‘ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SH
SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱【原理扫描】
看着博客敲代码
01-18 2万+
SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱【原理扫描】 安全套接层(Secure Sockets Layer,SSL),一种安全协议,是网景公司(Netscape)在推出Web浏览器首版的同时提出的,目的是为网络通信提供安全及数据完整性。SSL在传输层对网络连接进行加密。传输层安全TLS(Transport Layer Security),IETF对SSL协议标准化(RFC 2246)后的产物,与SSL 3.0差异很小。 当服务器SSL/TLS瞬时Diffie-Hellman
解决jetty环境ssl瞬时 Diffie-Hellman 公共密钥过弱
11-29
解决jetty8、jdk1.6环境下的ssl问题,示服务器瞬时 Diffie-Hellman 公共密钥过弱,可以通过设置如下参数解决
diffie-hellman-key-exchange-demo:用于演示 Diffie Hellman 密钥交换原理的现场演示的材料
06-06
Diffie-Hellman-Merkle 密钥交换演示Diffie Hellman Merkle (DH) 密钥交换是建立传输层安全性 (TLS) 连接的关键组件。 在 DH 密钥交换结束时,两方将就用于加密和解密数据的对称密钥达成一致。 在实现 TLS 时,理解...
Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本
06-09
Windows Server 合规漏洞修复,修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击
SpringBoot项目:SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱
weixin_42376402的博客
05-26 6698
SpringBoot项目:SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱
服务器启用tls协议,System Center 2012 r2 的 TLS 协议 1.2 支持部署指南
weixin_30845345的博客
08-07 1443
Windows 设置为使用仅 TLS 1.2使用下列方法之一将 Windows 配置为仅使用 TLS 1.2 协议。方法 1: 手动修改注册表重要仔细按照本节中的步骤操作。如果错误地修改了注册表,可能会出现严重问题。之前您修改它还原的注册表备份以防出现问题。使用以下步骤来启用/禁用所有频道协议系统范围。我们建议您启用 TLS 1.2 协议用于传入通信并启用 TLS 1.2、 TLS 1.1 和...
SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱漏洞验证
qq_38324646的博客
03-21 1万+
SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱漏洞验证 **漏洞描述**:当服务器SSL/TLS瞬时Diffie-Hellman公共密钥小于等于1024位时,存在可以恢复纯文本信息的风险。 **修复建议**:1.生成大于1024bit(例如2048bit)的dhkey 2.Apache2.4.8及以后版本 使用如下配置命令配置(h...
Diffie-Hellman密钥交换不足DH强度漏洞处理
dingxinyao的博客
12-22 1万+
早点时间服务器扫描的时候报出一个漏洞,中风险 SSL/TLSDiffie-Hellman密钥交换不足DH强度漏洞,在漏洞说明文档中有两个参考地址: https://weakdh.org/sysadmin.html https://weakdh.org/ 按照这两个文档说明的解决办法就是: 先在服务器上执行下面这行命令: openssl dhparam -out dhparams.pem 2048 然后在tomcat里的server.xml文件配置加上 <Connector ciphers="T
Tomcat Diffie-Hellman密钥交换不足DH强度漏洞修复
张林强的专栏
02-22 2097
Apache Tomcat In theserver.xmlfile (for JSSE) Cipher Suites <Connector ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_..
[问题]服务器瞬时 Diffie-Hellman 公共密钥过弱
热门推荐
求索
11-09 2万+
Chrome访问不安全的https链接时,Chrome为保护用户隐私会禁止用户访问这类不安全链接。 提示:服务器瞬时 Diffie-Hellman 公共密钥过弱 一是通过修改服务器配置,增加加密的安全级别。比如,tomcat配置: ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_12
IIS7部署SSL提醒支持弱Diffie-Hellman(DH)密钥交换导致评级低的解决办法
我是来搞笑的小白
01-08 3539
早期的windows系统对于SSL支付方面不是很友好,没有提供ssl加密套件的直接管理,原因就是windows没有关闭这个加密套件,要修改注册表关闭这个加密套件。 具体解决办法可以参考:https://blog.mydns.vip/1015.html ...
ssl/tls服务器瞬时diffie-hellman公共密钥过弱【原理扫描】
09-06
SSL/TLS是一种常用的加密通信协议,用于保护在网络上传输的数据的安全性。Diffie-Hellman算法是一种常用的密钥交换协议,用于在通信双方建立加密通信时生成共享密钥。 如果SSL/TLS服务器瞬时Diffie-Hellman公共密钥过弱,那么可能存在安全风险。这通常是由于服务器配置不当或者使用不安全的参数所导致的。 Diffie-Hellman算法中使用的安全参数主要包括素数和生成元。素数的选择应当足够大,以保证计算难度。生成元的选择应当是一个满足一定条件的整数,以确保生成的密钥具有足够的强度。 如果服务器使用了过小的素数或者弱的生成元,攻击者可能能够通过离线攻击进行穷举计算,从而推算出密钥的值。这将导致通信数据的机密性被破坏,使得攻击者能够拦截、窃取和篡改通信内容。 为了解决这个问题服务器管理员应当确保SSL/TLS服务器使用足够大的素数和安全的生成元。同时,定期更新服务器的配置,以应对新的安全风险和漏洞。另外,使用最新的SSL/TLS版本,并及时安装补丁,也是保障安全性的重要措施。 总的来说,保证SSL/TLS服务器瞬时Diffie-Hellman公共密钥强度是确保通信安全性的重要环节。通过合理配置服务器参数、更新和维护服务器,可以减少安全风险,确保通信的机密性和安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值