.NET Core如何配置TLS Cipher(套件)?

最新推荐文章于 2022-08-05 22:09:33 发布
最新推荐文章于 2022-08-05 22:09:33 发布
阅读量485 收藏
点赞数
文章标签: .netcore ssl https
原文链接:https://www.cnblogs.com/CreateMyself/p/15643871.html
版权

前不久我发表了一篇关于TLS协议配置被我钻了空子,经过第三方合作伙伴验证,针对此TLS协议存在不安全套件,急催速速解决,那么我们本篇开始继续整活!第三方合作伙伴对平台安全严苛要求,我们已连续发版十几次进行处理,在此过程中使得我对安全有了进一步认识,具体认识则是在技术解决方案和密码学盲点两方面。下面我们来了解两个方面,可能没有完全深入,至少对作为开发者的我们而言,应已基本足够
.NET Core Cipher(套件)配置
如果没有项目上的苛刻要求,我断然也就无法在此方面展开研究和实践。本文具以.NET 5为例,只不过针对.NET Core 3或3.1通过工具扫描出的协议套件结果略有所差异,但不影响我们对安全套件的配置,我们使用OpenSSL生成自签名证书,后续我会发表文章讲解OpenSSL自签名证书等等

复制代码
webBuilder.ConfigureKestrel(serverOptions =>
{
serverOptions.Listen(IPAddress.Any, 8000, listenOptions =>
{
listenOptions.UseHttps(“ssl.pfx”, “123456”, adapterOptions =>
{
adapterOptions.SslProtocols = SslProtocols.Tls12;
});
});
});
复制代码
HTTPS结合TLS 协议1.0或1.1不安全,所以TLS协议需使用1.2+,这里我们如上述代码使用版本1.2,接下来我们将其部署在Linux上,然后安装nmap,通过nmap工具扫描(至于nmap是什么,可自行了解)

通过nmap扫描指定端口号并枚举其支持TLS 套件需要注意一点,我们可能搜罗出来大多数文章的命令结果一扫,压根没有结果,其实nmap只对指定端口扫描才有效(比如443等等),比如使用如下命令无效果

nmap --script ssl-enum-ciphers localhost -p 8000
若是其他端口,可使用如下命令进行扫描

nmap --script +ssl-enum-ciphers localhost -p 8000
最终我们扫描出来的结果如下:

AES-CBC模式在中SSL或者TLS中存在一些已知的安全漏洞,如BEAST攻击、Lucky 13攻击等,虽然TLS1.1、TLS1.2未受到BEAST攻击的影响、Lucky 13(影响涉及到TLS1.1/1.2)攻击也在Openssl等知名加密算法库得到了修复,但这些漏洞均暴漏出CBC模式在SSL/TLS协议实现时容易引入安全漏洞,HTTP/2中也明确将CBC模式加密套件列为黑名单

上述是在.NET 5 TLS 1.2默认行为,但第三方规定禁止使用AES-CBC即使扫描出来的套件强度为A,并给定了其支持的安全套件

在上述配置通过路径读取文件和使用密码启用HTTPS重载方法中,如下

public static ListenOptions UseHttps(this ListenOptions listenOptions, string fileName, string password, Action configureOptions);
最后可针对连接做配置,在该类中有如下属性

public Action<ConnectionContext, SslServerAuthenticationOptions> OnAuthenticate { get; set; }
该输入第二个类参数里面,有针对套件的配置,如下(我也是结合github找了老半天才翻到)

所以最终我们配置支持的安全套件如下(诸多套件,闻所未闻,不打紧,下面会归纳总结):

复制代码
webBuilder.ConfigureKestrel(serverOptions =>
{
serverOptions.Listen(IPAddress.Any, 8000, listenOptions =>
{
listenOptions.UseHttps(“ssl.pfx”, “123456”, adapterOptions =>
{
adapterOptions.SslProtocols = SslProtocols.Tls12;

  adapterOptions.OnAuthenticate = (connectionContext, authenticationOptions) =>
  {
    var ciphers = new List<TlsCipherSuite>()
    {
      TlsCipherSuite.TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,
      TlsCipherSuite.TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,
      TlsCipherSuite.TLS_DHE_DSS_WITH_AES_128_GCM_SHA256,
      TlsCipherSuite.TLS_DHE_DSS_WITH_AES_256_GCM_SHA384,
      TlsCipherSuite.TLS_PSK_WITH_AES_128_GCM_SHA256,
      TlsCipherSuite.TLS_PSK_WITH_AES_256_GCM_SHA384,
      TlsCipherSuite.TLS_DHE_PSK_WITH_AES_128_GCM_SHA256,
      TlsCipherSuite.TLS_DHE_PSK_WITH_AES_256_GCM_SHA384,
      TlsCipherSuite.TLS_DHE_PSK_WITH_CHACHA20_POLY1305_SHA256,
      TlsCipherSuite.TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,
      TlsCipherSuite.TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,
      TlsCipherSuite.TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
      TlsCipherSuite.TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,
      TlsCipherSuite.TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256,
      TlsCipherSuite.TLS_ECDHE_PSK_WITH_CHACHA20_POLY1305_SHA256,
      TlsCipherSuite.TLS_ECDHE_PSK_WITH_AES_128_GCM_SHA256,
      TlsCipherSuite.TLS_ECDHE_PSK_WITH_AES_256_GCM_SHA384,
      TlsCipherSuite.TLS_ECDHE_PSK_WITH_AES_128_CCM_SHA256,
      TlsCipherSuite.TLS_DHE_RSA_WITH_AES_128_CCM,
      TlsCipherSuite.TLS_DHE_RSA_WITH_AES_256_CCM,
      TlsCipherSuite.TLS_DHE_RSA_WITH_AES_128_CCM_8,
      TlsCipherSuite.TLS_DHE_RSA_WITH_AES_256_CCM_8,
      TlsCipherSuite.TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256,
      TlsCipherSuite.TLS_PSK_WITH_AES_128_CCM,
      TlsCipherSuite.TLS_PSK_WITH_AES_256_CCM,
      TlsCipherSuite.TLS_DHE_PSK_WITH_AES_128_CCM,
      TlsCipherSuite.TLS_DHE_PSK_WITH_AES_256_CCM,
      TlsCipherSuite.TLS_PSK_WITH_AES_128_CCM_8,
      TlsCipherSuite.TLS_PSK_WITH_AES_256_CCM_8,
      TlsCipherSuite.TLS_PSK_DHE_WITH_AES_128_CCM_8,
      TlsCipherSuite.TLS_PSK_DHE_WITH_AES_256_CCM_8,
      TlsCipherSuite.TLS_ECDHE_ECDSA_WITH_AES_128_CCM,
      TlsCipherSuite.TLS_ECDHE_ECDSA_WITH_AES_256_CCM,
      TlsCipherSuite.TLS_ECDHE_ECDSA_WITH_AES_128_CCM_8,
      TlsCipherSuite.TLS_ECDHE_ECDSA_WITH_AES_256_CCM_8,
      TlsCipherSuite.TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
    };

    authenticationOptions.EnabledSslProtocols = SslProtocols.Tls12;
    authenticationOptions.CipherSuitesPolicy = new CipherSuitesPolicy(ciphers);
  };
});

});
});
亚马逊测评 www.yisuping.cn

福伴
关注
tls 1.2加密_椭圆曲线加密在TLS 1.3中的工作方式
cullen2012的博客
09-09 4100
tls 1.2加密 A couple of reader alerts: 读者警告: In order to (somewhat) simplify the description process and tighten the volume of the article we are going to write, it is essential to make a significan...
Nginx架构及配置详解
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
09-10 5400
概述 Nginx采用C进行编写,是俄罗斯程序员开发的一款轻量级的可构建Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器的软件, Nginx服务器是一个高性能的HTTP和反向代理web服务器,同时也可提供了IMAP/POP3/SMTP服务。nginx常用作跑静态和做负载反向代理,动态php交给apache处理,因后者比较稳定,jsp交给tomcat、resin或jboss。n......
.NET Core TLS 协议指定被我钻了空子~~~
dotNET跨平台
11-04 435
【导读】此前,测试小伙伴通过工具扫描,平台TLS SSL协议支持TLS v1.1,这不安全,TLS SSL协议至少是v1.2以上才行,想到我们早已将其协议仅支持v1.3,那应该非我们平台问...
.NET 网站安全问题
qq_43556517的博客
07-02 607
Cookie Secure Attribute Description If the secure flag is set on a cookie, then browsers will not submit the cookie in any requests that use an unencrypted HTTP connection, thereby preventing the cookie from being trivially intercepted by an attacker monit
linux修改ssl支持的密码套件,security - SSL中等强度的密码套件支持在亚马逊的Linux - SO中文参考 - www.soinside.com...
weixin_30106425的博客
05-01 1300
我跑了一个Amazon Linux服务器上的Nessus扫描并显示结果为“支持SSL中等强度密码套件”。我已经修改/etc/httpd/ssl.conf以下设置SSLProtocol -ALL -TLSv1 +TLSv1.1 +TLSv1.2 -SSLv3SSLProxyProtocol all -SSlv2 -SSLv3SSLHonorCipherOrder on#SSLCipherSuite ...
如何使用 .NET Core 安全地加/解密文件
zls365365的博客
03-22 651
前言由于客户网络安全限制,连接到互联网的设备不能访问内网。需要先从客户端应用中导出数据到文件,再将文件复制到U盘,最后通过内网机器上传数据。如何保证,在复制、传输过程中,文件的安全性?思路首先想到的是对文件进行加密。但是文件本身可能非常大,因此只能采取对称加密(AES)。如果将对称加密的密钥存储在客户端的应用里,可能导致密钥泄露。最好是每次加密都使用不同的AES密钥。现在...
Redis6.0.10 配置文件说明
更新博客
03-04 609
Redis6.0.10 配置文件说明 # Redis configuration file example. # Redis 配置 文件 模板 # # Note that in order to read the configuration file, Redis must be # started with the file path as first argument: # 请注意为了加载配置文件,Redis必须以配置文件路径作为第一个参数: # # ./redis-server /path/to/re
windows 远程连接mstsc到远程主机报:内部错误10010
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-05 4937
3、组策略编辑器(gpedit.msc)->管理模板->windows组件->远程桌面服务->远程桌面会话主机->安全->远程(RDP)连接要求使用指定的安全层,更改为“已启用”,下方安全层选择“RDP”。10、最小化启动尝试,msconfig打开系统配置,单击服务----勾选下面的“隐藏所有 Microsoft 服务”--------点击“全部禁用”。3、 copy E:\temp\完好副本 C:\windows\system32\损坏文件 //将损坏的系统文件替换为已知完好的文件副本。...
【kafka系列教程45】kafka使用SSL加密和认证
dcm19920115的博客
06-28 6025
使用SSL加密和认证 Apache kafka 允许clinet通过SSL连接,SSL默认是不可用的,需手动开启。 1. 为每个Kafka broker生成SSL密钥和证书。 部署HTTPS,第一步是为集群的每台机器生成密钥和证书,可以使用java的keytool来生产。我们将生成密钥到一个临时的密钥库,之后我们可以导出并用CA签名它。 keytool -keystore server....
.NET Core 必备安全措施
weixin_34195364的博客
11-13 305
.NET Core大大简化了.NET应用程序的开发。它的自动配置和启动依赖大大减少了开始一个应用所需的代码和配置量,本文目的是介绍如何创建更安全的.NET Core应用程序。 1.在生产中使用HTTPS传输层安全性(TLS)是HTTPS的官方名称,你可能听说过它称为SSL(安全套接字层),SSL是已弃用的名称,TLS是一种加密协议,可通过计算机网络提供安全通信。其主要目标是确保计算机应用程序之间的...
理解 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
H_O_W_E的专栏
06-12 1万+
简单理解TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256的含义
探讨.NET Core中实现AES加密和解密以及.NET Core为我们提供了什么方便!
weixin_34194702的博客
04-28 1337
前言 对于数据加密和解密每次我都是从网上拷贝一份,无需有太多了解,由于在.net core中对加密和解密目前全部是统一了接口,只是做具体的实现,由于遇到过问题,所以将打算基本了解下其原理,知其然足矣,知其所以然那就达不到了,利用AES加密更加安全,上一篇园友又提出,所以借着这个机会刚好用到加密和解密,同时我也已将项目中DES加密已替换为AES,在这里介绍一下。 AES加密介绍 高级加密标准(...
https和wss使用tls加密套件RC4,不安全导致账户数据被泄露
死磕音视频
12-07 5410
前言 现在https和wss已经很普遍了,所以我们经常会使用https代替http,wss代替ws,但是使用https加密也不意味着安全。 安全无小事 注意 任何架构和任何技术都必须要把安全放在第一位,一个安全事故,能摧毁一个公司和一个行业 起因 部署程序在客户机房,被客户扫描出一个漏洞,漏洞如下: SSL/TLS协议是一个被广泛使用的加密协议,Bar Mitzvah攻击实际上是利用了"不变性漏洞",这是RC4算法中的一个缺陷,它能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户名密
解决Cipher Suites导致的“未能创建 SSL/TLS 安全通道”异常问题
YongMa的博客
09-26 6304
故障描述 昨天晚上在生产环境的某台计算机遇到了访问第三方应用报“未能创建 SSL/TLS 安全通道”的异常。开发的同事重新写了两个命令控制台程序(.net framework 4.5 和 .netcore 3.1),问题可以100%重现。同样的代码在本地或者其它服务器上运行,可以正常使用。更为奇怪的是,同事使用 curl 工具或者 Python写的测试代码竟然都可以正常运行。 环境描述 操作系统: windows server 2016 Datecenter (Azure标准镜像) Host: C.
【ASP.NET Core】这可能是因为该站点使用过期的或不安全的 TLS 安全设置
热门推荐
少莫千华
06-01 2万+
目录 问题背景 解决方案 问题背景 集成开发环境 IDE Microsoft Visual Studio Community 2019 版本 16.1.3 项目 Project ASP.NET Core Web 应用程序 模板 Template API 用于创建包含 RESTful HTTP 服务示例控制器的ASP.NET Core 应用程序的项目模板。此模板还可以用于ASP.NET Core MVC 视图和控制器 调试 .
.NET Core下使用gRpc公开服务(SSL/TLS
weixin_33694172的博客
12-12 728
一、前言         前一阵子关于.NET的各大公众号都发表了关于gRpc的消息,而随之而来的就是一波关于.NET Core下如何使用的教程,但是在这众多的教程中基本都是泛泛而谈,难以实际在实际环境中使用,而该篇教程以gRpc为主,但是使用了其SSL/TLS,这样更加符合实际的生产使用,期间也会配套的讲解Docker、openssl等。   二、服务端   a.准备工作 笔者的项...
asp.net core gRPC 配置TLS
iml6yu的博客
11-07 1217
文章目录使用 ASP.NET Core 的 gRPC 服务(下链接有中文源地址)本文章用于自己记录配置 KestrelHTTP/2TLS协议协商 使用 ASP.NET Core 的 gRPC 服务(下链接有中文源地址)本文章用于自己记录 配置 Kestrel Kestrel gRPC 终结点: 需要 HTTP/2。 应通过传输层安全性(TLS)来保护。 HTTP/2 gRPC 要求 HTTP...
TLS加密套件详解与分析
4. TLS_RSA_WITH_系列:这些套件TLS_RSA_WITH_RC4_128_SHA (0x000005) 和 TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x00000A) 提供了更强的加密,使用RC4或3DES算法,结合RSA进行密钥交换和SHA散列进行消息认证。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值