tls 禁用重协商_服务器不支持TLS重新协商修正

最新推荐文章于 2024-04-21 10:30:00 发布
最新推荐文章于 2024-04-21 10:30:00 发布
阅读量892 收藏 1
点赞数
文章标签: tls 禁用重协商
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42403922/article/details/111955747
版权

在 IIS 6 和更高版本上启用 SSLAlwaysNegoClientCert运行 IIS 6 和更高版本的 Web 服务器会受到影响,因为它们通过请求客户端证书来要求执行相互身份验证,可以通过启用 SSLAlwaysNegoClientCert 设置进行加固。 这将导致 IIS 在初始连接时提示客户端提供证书,不需要由服务器发起的重新协商。

变通办法的影响: 设置此标志将要求客户端先执行身份验证,才能从受 SSL 保护的网站加载任何元素。 这将导致浏览器在连接到受 SSL 保护的网站时始终提示用户提供客户端证书。 如果受 SSL 保护的内容不需要相互身份验证,则收到提示选择证书的用户只需要取消该对话框以查看 SSL 连接上的内容,而不必选择要用来执行身份验证的证书。

对于 IIS 6:

在提升的/管理员命令提示符处从“c:\inetpub\adminscripts”文件夹中运行下列命令:

adsutil.vbs SET w3svc//SSLAlwaysNegoClientCert true

其中 代表要配置的网站编号(例如,“默认网站”为 1,下一网站为 2 等等)。 例如:要保护 IIS 创建的“默认网站”,应使用下列命令:

adsutil.vbs SET w3svc/1/SSLAlwaysNegoClientCert true

对于 IIS 7:

将下列文本保存到 Enable_SSL_Renegotiate_Workaround.js 文件中

var vdirObj=GetObject("IIS://localhost/W3svc/1");

// replace 1 on this line with the number of the web site you wish to configure

WScript.Echo("Value of SSLAlwaysNegoClientCert Before: " + vdirObj.SSLAlwaysNegoClientCert);

vdirObj.Put("SSLAlwaysNegoClientCert", true);

vdirObj.SetInfo();

WScript.Echo("Value of SSLAlwaysNegoClientCert After: " + vdirObj.SSLAlwaysNegoClientCert);

从提升的/管理员命令提示符处运行下列命令:

cscript.exe enable_ssl_renegotiate_workaround.js

苏小曦
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
干货|白话SSL/TLS默认协商漏洞原理与安全协商对抗机制
中兴开发者社区
11-14 1万+
点击上方“中兴开发者社区”,关注我们 每天读一篇一线开发者原创好文 SSL/TLS协议是现代互联网安全的基础,任何网上银行、电子商务、电子政务、电子医疗等等互联网要应用,都要基于SSL/TLS提供的安全、保密、可信机制才能正常运行。所以,任何SSL/TLS的安全漏洞都值得我们深入研究并理解。 什么是协商? 在SSL/TLS协议中,协商是指通信双方客户端和服务器,选取
关闭ssl协商功能_网络协议之TLS协议(1)抓包分析SSL/TLS握手
weixin_39789399的博客
12-09 2642
SSL是Secure Sockets Layer (安全套接层)的简写,SSL协议是为网络通信提供安全的一种安全协议,继任者为TLS,即 Transport Layer Security传输层安全。1. 初识SSL/TLS1.1. SSL/TLS协议版本 SSL的版本如下图所示, 可以看到从SSLv3.1以后,名称都改为TLS。SSL版本SSLv2SSLv3SSLv3.1SSLv3....
SSL/TLS服务器配置
Zhiyu's Blog
06-26 563
Secure Sockets Layer (SSL) 和Transport Layer Security (TLS) 用于在客户端和服务器之间建立加密通信通道。JAVA通过JSSE(javax.net.ssl) , 提供了对SSL和TLS支持。通过其所提供的一系列API,开发者可以像使用普通Socket一样使用基于SSL或TLS的安全套接字,而不用关心 SSL和TLS协议的细节,例如握手的流...
SSL-TLS类安全漏洞及SLB安全漏洞问题
最新发布
m0_59598029的博客
04-21 1705
测试环境,域名直接打到nginx上,所以在nginx的配置上修改TSL相关配置,都可以直接在域名中体现,手动设置1.2并排除DES-CBC3-SHA加密算法套件,就可以解决改问题。(2.4可以印证)。生产环境,开了阿里云的SLB,这导致域名并非直接打到nginx上。域名先打到SLB上,然后SLB在负载到nginx上,于是基于这种机制,对于nginx的修改,并不会对域名相关的漏洞有影响。不同点:SLB。
设置根证书服务器访问受限,java - 使用Java 8重新协商TLS_1.2期间,服务器证书更改受到限制 - 堆栈内存溢出...
weixin_33390343的博客
07-29 332
我对SSL相当陌生,并且受到了已知问题的打击。 我的应用程序是SSL客户端,它调用为双向SSL启用的另一个组件。 两个组件中的证书均正确,有时连接正常。 每个服务器都有自己的服务器证书和私钥,但具有相同的根证书和中间证书。服务器中的SSL检查是在Apache SW LB中完成的。|-------------|/ | Tomcat1 ||-------------| / |-----...
服务器支持 tls 重新协商修正,卷曲问题与不支持安全重新协商的网站
weixin_35033082的博客
08-01 258
语境:服务器:Debian 8.6卷曲7.38.0-4 deb8u11libcurl3:amd64 7.38.0-4 deb8u11openssl 1.0.1t-1 deb8u8案例1(KO)当我尝试连接到不支持的网站时通过命令行使用curl进行安全重新协商我总是收到此错误:与xxxxx连接时出现未知的SSL协议错误这是命令的完整输出:curl -v --tlsv1.2 xxxxxxxxx建网址...
TLS Https连接失败问题(协商失败)
weixin_30340745的博客
07-04 2000
IE使用TLS连接服务器失败,在经过n多查询之后发现windows如下更新说明:此更新不是最终用户能够安装的安全更新。建议只对服务器管理员使用此更新。此更新会部署一个在受影响的系统上禁用传输层安全 (TLS) 和安全套接字层 (SSL) 重新协商支持的替代方法,以帮助保护连接到此类服务器的客户端以免被该漏洞所利用。 TLS 重新协商是传输层安全协议的组件,并且是某些应用程序必需的。我们建议客户验...
tls.rar_TLS_openssl TLS_openssl server_openssl t
09-24
在标签中,“openssl_tls”、“openssl_server”和“openssl_t”进一步强调了这些源代码与OpenSSL库中的TLS功能有关,特别是关于服务器端的部分。这可能包括OpenSSL库的使用,如设置TLS版本、选择加密套件、处理证书...
tls.rar_ tls protocol_TLS_ssl_ssl/tls_tls pdf
09-19
"tls protocol_TLS_ssl_ssl/tls_tls pdf" 指的是文档可能涵盖了TLS协议、SSL(Secure Sockets Layer)协议以及它们之间的关系,并且是以PDF格式存储。 **描述解读:** 提供的描述简洁明了,表明这个文档是关于SSL...
ESPRIT-TLS.rar_TLS_TLS ESPR_TLS-SVD_tls-esprit_谐波
07-14
标题中的"ESPRIT-TLS.rar_TLS_TLS ESPR_TLS-SVD_tls-esprit_谐波"提到了几个关键术语,它们都是在信号处理和通信领域的要概念。首先,ESPRIT(Estimation of Signal Parameters via Rotational Invariance ...
TLS_CallBack_test.rar_PE TLS_TLS_TLS PE_pe_pe文件
09-14
PE文件TLS表演示程序。在文件运行前先执行一个函数。
TLS_CallBack.rar_TLS CALLBA_pe debugger_tlsCallback_tls_callba_手
09-19
这通常通过`IMAGE_TLS_DIRECTORY`结构和`RtlAddFunctionTable` API来完成。开发者可以通过这个机制在程序启动时执行特定的代码,如检查版本信息、初始化全局变量等。 在**调试器对抗**中,TLS回调函数可以被恶意...
服务器上ssl协议禁止,“SSL协议被禁用,无法安全的连接”怎么处理
weixin_33216825的博客
08-05 2970
在组策略里面修改,点击""开始"",""运行"",输入""Gpedit.msc""按回车1.禁止访问网络连接组件的属性“本地连接属性”对话框包括连接时使用的网络组件列表。要查看或更改组件属性,请单击组件名称,然后单击组件列表下面的“属性”按钮,。该策略确定用户是否可以更改由网络连接使用的组件属性,它确定是否启用用于网络连接组件的“属性”按钮。位置:\用户配置\管理模板\网络\网络连接\如果启用此设...
tls 禁用协商_SSL/TLS高危不安全重新协商漏洞
weixin_29999895的博客
12-24 2408
关于网站或者应用当中的SSL/TLS协议所存在的不安全漏洞,相应的发布了一篇不安全重新协商漏洞的内容。小凯seo博客将这篇内容转载过来和朋友们分享一下,题目是《SSL/TLS高危不安全重新协商漏洞》,正文部分如下:发布时间:2009年8月漏洞等级:高危漏洞原理:重新协商的漏洞在于新旧TLS连接之间没有连续性,即使这两个连接发生在同一个TCP连接上。也就是说,服务器并不会验证新旧两条TLS连接的另外...
SSL/TLS默认协商漏洞原理、RFC 5746安全协商
qq_37432174的博客
01-11 1213
记录个人学习
服务器支持低版本SSL/TLS协议 支持SSL弱密码套件
weixin_45596492的博客
03-24 6947
服务器支持低版本SSL/TLS协议 漏洞描述 在测试中发现服务器支持低版本的 TLS1.0和 TLS1.1协议,这些协议存在公开的漏洞建议,应该禁止使用。 漏洞影响 TLS 1.0和 TLS 1.1可能会受到FREAK、POODLE、BEAST和CRIME等漏洞的影响。 关于漏洞的详情可以查看: https://www.acunetix.com/blog/articles/tls-vulnerabilities-attacks-final-part/ 修复建议 可参考如下链接进行配置:
服务器支持 TLS Client-initiated 协商攻击(CVE-2011-1473) 修复记录
热门推荐
weixin_48335916的博客
06-24 2万+
服务器支持 TLS Client-initiated 协商攻击(CVE-2011-1473) 修复记录 根据漏洞扫描反馈的结果,发现存在“服务器支持 TLS Client-initiated 协商攻击(CVE-2011-1473)”漏洞,端口为443 查看端口443端口对应的PID,并找出对应的服务,最后发现433端口的服务是VM netstat -anp|findstr "443" wmic process get name,executablepath,processid|findstr pid
SSL/TLS 受诫礼攻击漏洞的问题的解决记录
第一行代码
10-10 1万+
        服务器中使用tomcat作为应用服务器,然后检测出安全漏洞,需要去禁用RC4加密算法,并且另一个安全漏洞问题是SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱。 上面的安全漏洞的解决方案是:        (1)重新配置SSL/TLS禁用RC4加密算法        (2)重新配置SSL/TLS,使用大于1024位的Diffie-Hellman公共密钥...
boringssl如何禁用TLS重新协商功能
02-28
如果您想禁用客户端和服务器端的 TLS 重新协商功能,需要在两个地方都进行修改。 4. 重新编译 BoringSSL 库并更新您的应用程序使用的库版本。 通过这些步骤,您就可以禁用 BoringSSL 中的 TLS 重新协商功能。请...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值