TLS1.0 漏洞相关问题

2022-09-06  本文已影响0人  叶子_0254

收到漏洞报告,SSL/TLS协议中发现了严重弱点,能让黑客悄悄破译Web服务器和终端用户浏览器之间传输的加密数据。

通常的解决方式是如何将win服务器禁用默认的ssl2.0和ssl3.0,只启用tls1.2保证安全。但按着处理完了之后,重启SQL服务,网站就挂掉了。

经过调查与测试,确认使用IISCrypto软件禁用TLS1.0,对SQL 2017一下的数据库软件版本不友好,最直接的体现在网站无法访问。

安装SQL2017版本的数据库可以解决这个问题。

不过,纵然使用IISCrypto禁用TLS1.0,还是会被扫描到该漏洞。

最终的解决方案是服务器本地的【控制面板】-【Internet选项】-【高级】-使用TLS1.0,这个勾去掉。

重启服务器之后再扫描,可以看到该问题才最终被处理。

可以通过这个https://www.ssllabs.com/ssltest/index.html网页检测网站是否支持对TLS的支持情况。

另有安全问题:检测到 RC4 密码套件

RC4 密码套件存在漏洞,SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808),通过“受戒礼”攻击,攻击者可以在特定环境下只通过嗅探监听就可以还原采用 RC4 保护的加密信息中的纯文本,导致账户、密码、信用卡信息等重要敏感信息暴露,并且可以通过中间人(Man-in-the-middle)进行会话劫持。RC4 现在已经是被强制丢弃的算法。

Windows 系统禁用 RC4 密码套件,在Powershell 中执行此命令 (以系统管理员身份)Windows 系统禁用 RC4 密码套件

# Re-create the ciphers key.

New-Item 'HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers' -Force | Out-Null

# Disable insecure/weak ciphers.

$insecureCiphers = @(

'DES 56/56',

'NULL',

'RC2 128/128',

'RC2 40/128',

'RC2 56/128',

'RC4 40/128',

'RC4 56/128',

'RC4 64/128',

'RC4 128/128',

'Triple DES 168'

)

Foreach ($insecureCipher in $insecureCiphers) {

$key = (Get-Item HKLM:\).OpenSubKey('SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers', $true).CreateSubKey($insecureCipher)

$key.SetValue('Enabled', 0, 'DWord')

$key.close()

Write-Host "Weak cipher $insecureCipher has been disabled."

}

上一篇下一篇

猜你喜欢

热点阅读