在Qualys中等级为C的SSL证书
在Qualys中等级为C的SSL证书
提问于 2019-10-23 06:33:09
当web应用的SSL证书从https://www.ssllabs.com/ssltest/的Qualys扫描工具中被分级为C时,您能帮助总结一下web应用程序的主要威胁吗?
Qualys工具的主要发现摘要
This server supports weak Diffie-Hellman (DH) key exchange parameters. Grade capped to B.
The server supports only older protocols, but not the current best TLS 1.2. Grade capped to C.
This server does not support Authenticated encryption (AEAD) cipher suites. Grade capped to B.
This server supports TLS 1.0. Grade will be capped to B from March 2020.从他们的详细名单上
It currently supports only TLS 1.0.
It does NOT support SSL 2, SSL 3, TLS 1.1, 1.2 and 1.3
# TLS 1.0 (suites in server-preferred order)
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) ECDH secp256r1 (eq. 3072 bits RSA) FS WEAK 256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) ECDH secp256r1 (eq. 3072 bits RSA) FS WEAK 128
TLS_RSA_WITH_AES_256_CBC_SHA (0x35) WEAK 256
TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) WEAK 128
TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x39) DH 1024 bits FS WEAK 256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x33) DH 1024 bits FS WEAK 128
Forward Secrecy Weak key exchange WEAK
Uses common DH primes Yes Replace with custom DH parameters if possible (more info)
DH public server param (Ys) reuse Yes
ECDH public server param reuse Yes我知道,升级TLS证书以支持TLS 1.2和1.3;取消对较低版本的支持,将减少大部分风险。
同样,使用更强的密码套件,并安排适当的排序。
我需要知道的是,如果在当前情况下,这种资源(Windows 2016)可以暴露在哪些类型的攻击中?
谢谢
回答 1
Security用户
回答已采纳
发布于 2019-10-23 08:08:57
首先,您需要对以下几个概念做一些澄清:
- 所报告的问题与证书无关,但您的服务器被配置为支持的协议。
- TLS保护服务器和客户端之间的连接。该协议的旧版本中的缺陷不会使服务器软件暴露于任何漏洞(尽管它本身可能有其他漏洞),但如果记录的通信量可以稍后解密,则可能暴露客户端和服务器之间现在或将来传输的数据。
Qualys SSL Server测试非常清楚地解释了漏洞/弱点:
- 如果您单击行上的
MORE INFO >>链接,将解释年级惩罚的原因。 - 协议详细信息部分还提供了
(more info)的链接。
如果您希望通过启用TLS 1.2和完善的前向保密&禁用旧的协议和弱密匙来获得A级,那么您可以遵循以下几个教程。Alexander甚至还维护了一个PowerShell脚本,它可以为您做到这一点:
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/220039
复制相关文章
相似问题
腾讯云开发者
