服务器不支持 tls 重新协商修正,卷曲问题与不支持安全重新协商的网站

最新推荐文章于 2023-01-11 01:14:40 发布
最新推荐文章于 2023-01-11 01:14:40 发布
阅读量265 收藏
点赞数
文章标签: 服务器不支持 tls 重新协商修正

语境:

服务器:Debian 8.6

卷曲7.38.0-4 deb8u11

libcurl3:amd64 7.38.0-4 deb8u11

openssl 1.0.1t-1 deb8u8

案例1(KO)

当我尝试连接到不支持的网站时通过命令行使用curl进行安全重新协商我总是收到此错误:

与xxxxx连接时出现未知的SSL协议错误

这是命令的完整输出:

curl -v --tlsv1.2 xxxxxxxxx

重建网址为:xxxxxxxxxx

在DNS缓存中找不到

主机名

试用XXXXXXX ......

已连接到xxxxxxxxxxxx(x.x.x.x)端口443(#0)

成功设置证书验证位置:

CAfile:无

CApath:/ etc / ssl / certs

SSLv3,TLS握手,客户端问候(1):

与xxxxxxxxxx相关的未知SSL协议错误:443

关闭连接0

curl:(35)与xxxxxx:443相关的未知SSL协议错误

附加信息:远程网站不支持安全重新协商(我使用openssl s_client -connect domainname:443查看) .

看起来curl总是尝试使用SSLv3执行SSL握手,服务器立即拒绝连接不执行任何重新协商 .

案例2(好的)

当我尝试连接到支持使用curl通过命令行进行安全重新协商的网站时,我能够连接 .

这是命令的完整输出:

root @ web1:〜#curl -v --tlsv1.2 XXXXXXX

重建网址为:XXXXXX

在DNS缓存中找不到

主机名

试用XXXXXXX ......

连接到XXXXXXXX(XXXXXXX)端口443(#0)

成功设置证书验证位置:

CAfile:无

CApath:/ etc / ssl / certs

SSLv3,TLS握手,客户端问候(1):

SSLv3,TLS握手,服务器问候(2):

SSLv3,TLS握手,CERT(11):

SSLv3,TLS握手,服务器完成(14):

SSLv3,TLS握手,客户端密钥交换(16):

SSLv3,TLS更改密码,客户端问候(1):

SSLv3,TLS握手,已完成(20):

SSLv3,TLS更改密码,客户端问候(1):

SSLv3,TLS握手,已完成(20):

使用TLSv1.2 / AES256-GCM-SHA384进行SSL连接

附加信息:远程网站支持安全重新协商(我使用openssl s_client -connect domainname:443查看) .

看起来curl总是尝试使用SSLv3执行SSL握手,然后服务器执行重新协商并且curl接受新的ssl协议版本(tlsv1.2) .

根本原因看起来curl忽略了选项--tlsv1.2或者我错了吗?

我已经将软件包更新到最新版本(Debian 9不是一个选项) .

有什么建议?

谢谢

泼皮士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
干货|白话SSL/TLS默认重协商漏洞原理与安全协商对抗机制
中兴开发者社区
11-14 1万+
点击上方“中兴开发者社区”,关注我们 每天读一篇一线开发者原创好文 SSL/TLS协议是现代互联网安全的基础,任何网上银行、电子商务、电子政务、电子医疗等等互联网重要应用,都要基于SSL/TLS提供的安全、保密、可信机制才能正常运行。所以,任何SSL/TLS安全漏洞都值得我们深入研究并理解。 什么是重协商? 在SSL/TLS协议中,协商是指通信双方客户端和服务器,选取
服务器支持 tls 重新协商修正,OpenSSL安全重新协商失败
weixin_39717318的博客
08-01 586
为了更详细地了解这个问题,这里有一些相关的信息:The official description:TLS协议,SSL协议3.0以及可能更早的版本,如Microsoft Internet Information Services(IIS)7.0,Apache HTTP Server 2.2.14及更早版本中的mod_ssl,0.9.8l之前的OpenSSL,GnuTLS 2.8.5早些时候,Mozi...
tls 禁用重协商_服务器支持TLS重新协商修正
weixin_42403922的博客
12-24 905
在 IIS 6 和更高版本上启用 SSLAlwaysNegoClientCert运行 IIS 6 和更高版本的 Web 服务器会受到影响,因为它们通过请求客户端证书来要求执行相互身份验证,可以通过启用 SSLAlwaysNegoClientCert 设置进行加固。 这将导致 IIS 在初始连接时提示客户端提供证书,不需要由服务器发起的重新协商。变通办法的影响:设置此标志将要求客户端先执行身份验证...
linux源码编译安装apache( httpd-2.4.53)处理服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473)
liaodaoguo的博客
03-30 1756
linux源码编译安装apache 首先我们需要下载相关的依赖包 apr、apr-util、pcre 1.配置依赖环境 (1) 配置apr依赖 解压依赖包: tar -xf apr-1.7.0.tar.gz 进入解压后的目录:cd apr-1.7.0 配置(设置安装在/usr/local/apr):./configure --prefix=./configure --prefix=/usr/local/apr 编译并安装:make && make install (2) 配置apr-util
Tomcat关于DH算法问题解决办法
vTrus
12-01 815
Tomcat关于DH算法问题解决办法 Tomcat 老版本存在的问题 Tomcat6的版本中是支持SSLv3和Diffie-Hellman算法的。研究人员指出,LogJam出现在常用的密钥交换加密演算法中(Diffie-Hellman key exchange),这个演算法让HTTPS、SSH、IPSec及SMTPS等网络协定产生共享的加密密钥,并建立安全连线。LogJam漏洞使黑客得以发动中间人攻击,让有漏洞的TLS连线降级为512-bit出口等级的密码交换安全性,再读取或修改经由TLS加密连线传输的资料
paypal php不支持TLS1.2解决方法
09-28
标题 "paypal php不支持TLS1.2解决方法" 指出的问题是关于PHP环境与PayPal接口通信时出现的兼容性问题。PayPal在安全方面的要求不断提升,目前强制要求所有连接必须使用TLS 1.2(Transport Layer Security 1.2)或更...
微信小程序开发时服务器如何支持tls1.2?
03-29
目前很多同学遇到了这个问题,并且难以解决,所以,我想咨询一下同学们,是否搞过,可以说一下自己的方法或者服务器设置步骤; (此图片来源于网络,如有侵权,请联系删除! )其实说起来这个并不是小程序的问题。。。...
解决jdk1.7 不支持TLS1.2的问题
04-26
NULL 博文链接:https://ligaosong.iteye.com/blog/2356346
网络服务器配置与管理课件项目10使用SSLTLS安全连接网站.pptx
11-12
本课件主要围绕网络服务器配置与管理,重点讲解如何使用SSL/TLS建立安全连接网站。 首先,SSL/TLS服务的核心目标是确保在网络传输中,数据的保密性、完整性以及双方的身份认证。在传输层,SSL/TLS协议位于应用层和...
如何让Nginx快速支持TLS1.3协议详解
09-30
2. **TLS 1.3与TLS 1.2不兼容**:协议层面的变化意味着旧版本的客户端可能无法与TLS 1.3服务器正常通信,因此需要考虑兼容性问题。 3. **依赖OpenSSL库**:Nginx的TLS支持取决于其底层的OpenSSL库。确保Nginx版本和...
OpenSSL握手重协商过程中存在漏洞可导致拒绝服务
鹈鹕门将的博客
05-23 2983
OpenSSL是一个非常流行的通用加密库,可为Web认证服务提供SSL/TLS协议的具体实现。最近以来,人们发现OpenSSL中存在几个漏洞。我们写过几篇文章分析这些漏洞,包括“CVE-2017-3731:截断数据包可导致OpenSSL拒绝服务”、“SSL死亡警告(CVE-2016-8610)可导致OpenSSL服务器拒绝服务”等。今天,我们将要分析的是CVE-2017-3733这个高危级漏洞,即E
curl命令
weicaijiang的专栏
03-28 3321
命令概要 该命令设计用于在没有用户交互的情况下工作。 curl 是一个工具,用于传输来自服务器或者到服务器的数据。「向服务器传输数据或者获取来自服务器的数据」 可支持的协议有(DICT、FILE、FTP、FTPS、GOPHER、HTTP、HTTPS、IMAP、IMAPS、LDAP、LDAPS、POP3、POP3S、RTMP、RTSP、SCP、SFTP、SMTP、SMTPS、TELNET和TFTP)。 curl提供了大量有用的技巧,比如代理支持、用户身份验证、FTP上传、HTTP post、SSL连接
SSL/TLS默认重协商漏洞原理、RFC 5746安全协商
qq_37432174的博客
01-11 1251
记录个人学习
tls 禁用重协商_SSL/TLS高危不安全重新协商漏洞
weixin_29999895的博客
12-24 2462
关于网站或者应用当中的SSL/TLS协议所存在的不安全漏洞,相应的发布了一篇不安全重新协商漏洞的内容。小凯seo博客将这篇内容转载过来和朋友们分享一下,题目是《SSL/TLS高危不安全重新协商漏洞》,正文部分如下:发布时间:2009年8月漏洞等级:高危漏洞原理:重新协商的漏洞在于新旧TLS连接之间没有连续性,即使这两个连接发生在同一个TCP连接上。也就是说,服务器并不会验证新旧两条TLS连接的另外...
服务器支持 tls 重新协商修正,服务器证书更改在与Java 8的TLS_1.2重新协商期间受到限制...
weixin_27625589的博客
08-01 455
我对SSL非常陌生,并且受到似乎已知问题的影响。我的应用程序是SSL客户端,并调用另一个启用了双向SSL的组件。两个组件中的证书都是正确的,并且连接有时可以正常工作。每台服务器都有自己的服务器证书和私钥,但具有相同的根证书和中间证书。服务器证书更改在与Java 8的TLS_1.2重新协商期间受到限制服务器中的SSL检查在Apache SW LB中完成。|-------------|/| Tomca...
服务器支持tls1.0,如何解决:对应的服务器 tlstls 1.0,小程序要求的TLS版本必须大于等于1.2问题...
weixin_42306501的博客
07-29 894
Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCH...
服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473) 修复记录
热门推荐
weixin_48335916的博客
06-24 2万+
服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473) 修复记录 根据漏洞扫描反馈的结果,发现存在“服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473)”漏洞,端口为443 查看端口443端口对应的PID,并找出对应的服务,最后发现433端口的服务是VM netstat -anp|findstr "443" wmic process get name,executablepath,processid|findstr pid
安全服务器,不支持ftp over tls
最新发布
04-11
这个问题的意思是,有没有不安全服务器支持FTP over TLS。我的回答是,确实存在不安全服务器支持FTP over TLS,这意味着数据传输不加密,存在被第三方窃取的风险。因此,我们应该选择支持FTP over TLS的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值