【网络安全】SSL重协商原理、过程、防范详解(含案例)

最新推荐文章于 2025-11-04 13:35:05 发布
原创 最新推荐文章于 2025-11-04 13:35:05 发布 · 3.4k 阅读 · 3 ·
CC 4.0 BY-SA版权
原创文章,禁止转载,否则保留追究法律责任的权利。
文章标签:

#web安全 #ssl

未经许可,不得转载。
本文仅供学习交流使用,不得进行非法渗透测试,笔者不承担任何责任。

文章目录

简介

SSL/TLS 重协商(Renegotiation) 是指在已经建立的 SSL/TLS 连接上,客户端和服务器重新协商加密参数,以更新安全设置或重新进行身份验证。它可以由客户端或服务器发起。

SSL 重协商场景

1、更强身份验证
如最初未要求,但连接后,服务器要求客户端提供 SSL 证书。

2、更新加密参数
提高安全性,比如切换更强的加密算法或密钥。

3、会话恢复
部分服务器使用重协商机制来恢复会话,而不是重新建立连接。

SSL 重协商过程

重协商的过程与初始 SSL/TLS 握手类似,但发生在已有连接之上:

1、发起重协商:客户端或服务器发送 ClientHelloHelloRequest
2、重新握手:双方重新交换 ClientHelloServerHello 等信息,并重新协商密钥。
3、建立新的会话参数:完成密钥交换后,新的安全设置生效,但 TCP 连接仍然保持不变。

重协商的安全问题

了解本专栏 订阅专栏 解锁全文 超级会员免费看
干货|白话SSL/TLS默认重协商漏洞原理安全重协商对抗机制
中兴开发者社区
11-14 1万+
点击上方“中兴开发者社区”,关注我们 每天读一篇一线开发者原创好文 SSL/TLS协议是现代互联网安全的基础,任何网上银行、电子商务、电子政务、电子医疗等等互联网重要应用,都要基于SSL/TLS提供的安全、保密、可信机制才能正常运行。所以,任何SSL/TLS的安全漏洞都值得我们深入研究并理解。 什么是重协商? 在SSL/TLS协议中,协商是指通信双方客户端和服务器,选取
(八)netty的SSL renegotiation攻击漏洞
weixin_33782386的博客
01-11 2661
为了满足安全规范,从http改造成https(见(四)启用HTTPS),然而启用https后就可以高枕无忧了吗?绿盟告诉你:当然不,TLS Client-initiated 重协商攻击(CVE-2011-1473)了解一下。 1. 漏洞 报告是这样的: 详细描述 该漏洞存在于SSL renegotiation的过程中。对于使用SSL重协商功能的服务都会受其影响。特别的,renego...
TLS & SSLv3 renegotiation
03-10
ssl漏洞This paper explains the vulnerability for a broader audience and summarizes the information that is currently available. The document is prone to updates and is believed to be accurate by the time of writing
SSL重协商DDoS攻击解析
feV_k7bk的博客
10-13 244
SSL/TLS协议中的客户端发起的重新协商(Client-Initiated Renegotiation)是一种允许客户端在已建立的加密会话中请求重新协商加密参数的功能。该功能设计初衷是支持动态升级会话安全性,但可能被恶意利用导致拒绝服务(DDoS)攻击。攻击者通过伪造大量客户端请求,持续触发SSL重新协商过程。由于服务器在每次重新协商时需消耗大量CPU资源进行密钥交换和参数计算,远高于普通请求的处理成本。单个攻击者可通过低带宽发送高频重新协商请求,耗尽服务器资源。
常见绿盟扫描主机漏洞及修复方案
06-11 1万+
1、服务器支持 SSL Insecure Renegotiation (CVE-2009-3555)原理扫描】 中 修复意见: 建议升级openssl来进行修复,openssl-0.98m之后的版本就已经修复了该漏洞,使用了Secure Renegotiation。 2、SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808) 中 修复意见: 对于NGINX的修补 修改nginx配置文件中的 ssl_ciphers项 ssl_ciphers"ECDHE-..
OpenSSL-TLS重协商
热门推荐
Remy的学习记录
09-08 3万+
一、什么是重协商     大部分TLS连接都以handshake为开始,经过应用数据的交换,最后关闭会话。如果在第一次handshake之后(可能经历了应用数据的交换也可能没有)请求重新协商,就会发起一次新的handshake,对新的安全参数达成一致。重协商的handshake的消息都是全部加密的,这与第一次handshake明显不同。     重协商功能应用场景举例: *) Client证
SSL协议会话建立过程解析
weixin_33739523的博客
12-08 349
SSL协议 缩写 Secure SocketLayer,是一种制定的保证服务器和客户端安全通信的一种协议。最初是由 Netscape 在1996年发布,由于一些安全的原因SSL v1.0和SSL v2.0都没有公开,直到1996年的SSL v3.0。TLS是SSL v3.0的升级版,目前市面上所有的HTTPS都是用的是TLS,而不是SSL。本文主要分析和讲解TLS。HTTPS...
76、网络安全:防火墙与入侵检测系统详解
最新发布
cheese的博客
11-04 34
本文深入探讨了网络安全中的核心组件——防火墙与入侵检测系统(IDS)及入侵预防系统(IPS)。文章首先介绍了应用网关的工作原理及其局限性,随后详细解析了IDS和IPS的功能、部署方式以及基于签名和异常的两种IDS系统的特点与优劣。通过Snort开源系统的实例,展示了签名匹配机制和社区驱动的安全响应模式。文中还涵盖了加密技术、密钥管理、消息完整性、端点认证等基础安全概念,并结合PGP、SSL、IPsec和WEP等协议分析其应用场景。最后,提供了防火墙配置示例和安全协议对比表格,全面总结了当前网络安全的重点从通
信息安全技术详解网络安全核心方法解析
结合标签“信息安全”、“中山大学”、“网络”,我们可以推断该资料重点聚焦于信息在计算机网络环境下的安全性保障机制,包括但不限于加密技术、身份认证、访问控制、网络安全协议、防火墙技术、入侵检测系统、安全...
网络安全核心威胁与防御技术详解
网络安全是现代信息技术体系中最为关键的组成部分之一,随着互联网应用的广泛普及和信息系统复杂性的不断提升,网络空间面临的安全威胁日益严峻。《网络安全核心威胁与防御[代码]》一文系统性地梳理了网络安全领域的...
传输层安全协议(TLS_SSL详解与实践
# 1. 简介 ## 1.1 TLS/SSL的定义及作用 TLS(传输层安全)和SSL安全套接层)是用于在网络上保障通信安全的加密协议。TLS是SSL的继任者,目前主流的网站和应用基本上都在使用TLS协议...## 1.3 TLS/SSL网络安全中的
SSL/TLS原理详解
weixin_33670713的博客
02-13 1160
本文大部分整理自网络,相关文章请见文后参考。 关于证书授权中心CA以及数字证书等概念,请移步 OpenSSLSSL 数字证书概念贴 ,如果你想快速自建CA然后签发数字证书,请移步 基于OpenSSL自建CA和颁发SSL证书 。 SSL/TLS作为一种互联网安全加密技术,原理较为复杂,枯燥而无味,我也是试图理解之后重新整理,尽量...
SSL密钥协商过程详解
MissLong的专栏
08-01 1万+
由于非对称加密的速度比较慢,所以它一般用于密钥交换,双方通过公钥算法协商出一份密钥,然后通过对称加密来通信,当然,为了保证数据的完整性,在加密前要先经过HMAC的处理。 SSL缺省只进行server端的认证,客户端的认证是可选的。以下是其流程图(摘自TLS协议)。       Client                                           
SSL/TLS默认重协商漏洞原理、RFC 5746安全重协商
qq_37432174的博客
01-11 1993
记录个人学习
SSL/TLS攻击介绍--重协商漏洞攻击
海米一枚
01-05 4049
SSL/TLS重协商漏洞攻击
SSL renegotiation攻击详解
Xizhi Zhu的博客
11-07 1万+
英文不错的朋友可以参看我英文博客上的原文。该攻击利用了SSL协议renegotiation的漏洞,允许攻击者以中间人攻击的方式在通信的起始部分插入任意的选择明文。以下假设你对SSL/TLS的工作方式,尤其是renegotiation比较熟悉,并且对HTTP有基本的了解。第一个场景:当要求客户证书时在理想情况下,服务器会在第一次和客户握手时要求其提供证书。但在现实中,出于种种原因
Testing for SSL renegotiation
weixin_33966095的博客
08-19 260
https://blog.ivanristic.com/2009/12/testing-for-ssl-renegotiation.html
SSL密钥协商过程分析
weixin_30660027的博客
07-23 1241
一、说明 尽管做过证书生成、双向认证、SSL通信编程等事情,但一直不清楚SSL如何完成密钥交换。看网上的资料则众说纷纭,最近和朋友学习时聊到了这个问题,然后正巧上周处理客户反馈SSL版本过低时领导也想弄清SSL的密钥交换过程,所以来研究一番。 二、密钥交换过程 第一步,客户端向服务端,Client Hello(Client Random+Session ID+Cipher S...
Oracle ssl java,Disabling SSL Renegotiation in Java
weixin_29196613的博客
04-05 208
Here is the part of ssl debug from server side:Thread-1, READ: TLSv1 Handshake, length = 128Allow unsafe renegotiation: falseAllow legacy hello messages: falseIs initial handshake: falseIs secure rene...
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值