SSL weak ciphers 漏洞修复过程

最新推荐文章于 2025-02-12 08:57:57 发布
最新推荐文章于 2025-02-12 08:57:57 发布
阅读量8k 收藏 3
点赞数 2
分类专栏: java 漏洞修复 文章标签: 安全漏洞 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Charlven/article/details/103775478
版权
本文介绍了SSL/TLS的定义、工作原理和历史发展,重点讨论了SSL弱密码和漏洞,包括SSL 2.0和SSL 3.0的安全问题。针对SSL/TLS 1.0和1.1的不安全性,提出了禁用这些版本的处理办法,并提供了Nginx的TLS配置示例。通过禁用弱加密和旧版协议,可以提高系统的安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

故事前言

最近接到了一个安全漏洞:ssl weak ciphers。一开始接到这个漏洞讲真,觉得一脸懵逼。发现触及知识点盲区了。。没办法,那我们一步一步去解剖。
首先这个问题在网上查阅时候,大多数都会带上 TLS/SSL ciphers。所以这里也一起讲解一下。

知识储备

什么是 TLS

TLS定义

TLS(Transport Layer Security,安全传输层),一种加密协议。TLS是建立在传输层TCP协议之上的协议,服务于应用层,它的前身是SSL(Secure Socket Layer,安全套接字层),以SSL 3.0 作为基础版。它实现了将应用层的报文进行加密后再交由TCP进行传输的功能。

TLS如何工作

TLS可以用于传输层安全协议(例如TCP)之上。TLS包含三个主要组件:加密,身份验证和完整性。

  • 加密:隐藏从第三方传输的数据。(通过加密方式实现)
  • 认证:确保交换信息的各方是他们声称的身份。(双方认证证书)
  • 完整性:验证数据是否未被伪造或篡改。(MAC 地址)

TLS握手过程

sequenceDiagram
    Client->>Server:ClientHello
    Server->>Client:ServerHello
    Server-->>Client:SendCertificate、Request Certificate
    Server->>Client:ServerHelloDone
    
    Client->>Server:ClientKeyExchange
    Client->>Server:ChangeCipherSpec
    Client->>Server:Finashed
    
    Server->>Client:ChangeCipherSpec
    Server->>Client:Finished

TLS 发展过程

  • 1995: SSL 2.0, 由Netscape提出,这个版本由于设计缺陷,并不安全,很快被发现有严重漏洞,已经废弃。
  • 1996: SSL 3.0. 写成RFC,开始流行。目前(2015年)已经不安全,必须禁用。
  • 1999: TLS 1.0. 互联网标准化组织ISOC接替NetScape公司,发布了SSL的升级版TLS 1.0版
  • 2006: TLS 1.1. 作为 RFC 4346 发布。主要修复了CBC模式相关的如BEAST攻击等漏洞
  • 2008: TLS 1.2. 作为 RFC 5246 发布 。增进安全性,目前应该主要部署的版本
  • 2015之后: TLS 1.3,还在制订中,支持0-rtt,大幅增进安全性,砍掉了aead之外的加密方式

什么是 SSL

其实就是上面说的 Secure Socket Layer,安全套接字层。位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性,以实现客户端和服务器之间的安全通讯。该协议由两层组成:SSL记录协议和SSL握手协议。
TLS 则是以SSL 3.0 作为基础推出的。

最低0.47元/天 解锁文章
Weak SSL Version、SSL Weak Cipher Suites Supported
zenglingmin8的博客
05-28 2169
漏洞扫描结果: Severity:Medium Vulnerability:Weak SSL Version (SSLv2, SSL v3, TLS v1.0 and TLS v1.1)、SSL Weak Cipher Suites Supported 这个漏洞的原因就是ssl版本太低。 检查了自己架构之后,发现问题出在nginx上,于是对nginx的ssl版本进行调整。针对不同版本的nginx的ssl配置,参考: https://ssl-config.mozilla.org/#server=nginx&a
漏洞修复启用了不安全的TLS1.0、TLS1.1协议
LIARRR的博客
04-12 7823
表示启用TLSv1.2 TLSv1.3 禁用其他TLS协议,注意此配置只能配置在http块或者 default_server中才能生效,且其他server块都会读取default_server中的配置。TLS 1.0和TLS1.1协议使用了脆弱的加密算法,存在重大安全漏洞,容易受到降级攻击的严重影响。启用对TLS 1.2或1.3的支持,并禁用对TLS 1.0和TLS 1.1的支持。nginx修改配置文件。出现下图则表示禁用成功。出现下图则表示禁用失败。
如何配置SSL加密算法以支持弱TLS加密并忽略不安全算法
最新发布
记录学习的过程
02-12 266
在配置SSL/TLS加密时,合理设置加密算法(Ciphers)是确保通信安全的重要环节。有时,为了兼容旧系统或特定需求,可能需要支持较弱的TLS加密算法,但同时需要忽略已知的不安全算法,以避免安全风险。通过合理配置 ssl_ciphers,可以在支持弱TLS加密算法的同时,忽略已知的不安全算法,从而在兼容性和安全性之间取得平衡。通过合理配置,可以选择性地启用或禁用某些加密算法,从而在兼容性和安全性之间找到平衡。ECDHE 和 DHE:支持前向保密的密钥交换算法。EXPORT 和!DES:禁用弱加密算法。
开发安全之:Insecure Transport: Weak SSL Protocol
irizhao的专栏
01-16 1554
传输层安全 (TLS) 协议和安全套接字层 (SSL) 协议提供了一种保护机制,可以确保在客户端和 Web 服务器之间所传输数据的真实性、保密性和完整性。每次新的修订都旨在解决以往版本中发现的安全漏洞。使用不安全版本的 TLS/SSL 会削弱数据保护力度,并可能允许攻击者危害、窃取或修改敏感信息。SSLv2、SSLv23、SSLv3、TLSv1.0 和 TLSv1.1 协议包含使它们变得不安全的缺陷,不应该使用它们来传输敏感数据。- 使用弱密码套件 这些属性的存在可能会允许攻击者截取、修改或篡改敏感数据。
漏洞修复:Often Misused: Weak SSL Certificate
CutelittleBo的博客
01-28 3264
描述 WebInspect has identified a self-signed certificate served from the target server. Server certificates declare the public key of the server for use in transport layer security. Trusted third-party vendors known as Certificate Authority (CA) sign and iss
开发安全之:Insecure Transport- Weak SSL Protocol
ZL_1618的博客
07-13 533
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
sslv3漏洞修复服务器端,SSL V3漏洞修复 网站SSL安全漏洞修复指南
weixin_42223667的博客
08-10 1117
Web网站的SSL漏洞主要包括如下几种:1、SSL RC4 Cipher Suites Supported2、SSL Weak Cipher Suites Supported3、TheFREAKattack(export cipher suites supported)4、The POODLE ataack(SSLV3 supported)5、SSL 2.0 deprecated protoc...
rc4加密问题漏洞修复_「ssl漏洞」网站SSL安全漏洞修复指南
weixin_32022555的博客
12-24 2382
前段时间对公司的网站进行了一下扫描,使用的是awvs扫描器,发现了几处SSL方面的安全漏洞,网上找了一些修复的建议,分享给大家,如果你也遇到和我一样的问题,可以用此修复。Web网站的SSL漏洞主要包括如下几种:1、SSL RC4 Cipher Suites Supported2、SSL Weak Cipher Suites Supported3、TheFREAKattack(export ci...
SSL Certificate Signed Using Weak Hashing Algorithm,使用弱哈希算法签名的 SSL 证书的解决方法,在docker下Nginx生成ssl证书https
weixin_40555654的博客
06-24 1万+
SSL Certificate Signed Using Weak Hashing Algorithm,使用弱哈希算法签名的 SSL 证书的解决方法,在docker下Nginx生成ssl证书https协议
修复Openssh漏洞:SSH Weak Ciphers And Mac Algorithms Supported
JeremyYu的博客
06-11 8599
我扫出来的漏洞报告中只有:SSH Weak Mac Algorithms Supported ,在找修复的方法的时候找到了 这篇文章 ,除了弱MAC之外还提到了弱Ciphers,所以就顺便把另一个也解决了。 只需要把报告中提到的几个加密算法取消即可 1.首先找到ssh服务端的配置文件,我的配置文件位于 /etc/ssh 文件夹下。编辑 sshd_config 文件。 2.添加如下配置,限制SSH
SSL 和windows及浏览器等兼容性报告
11-29
本报告就如何配置SSL/TLS以提供最先进的身份验证和加密技术提出了一般性建议。ssl引擎提供的选项是从 自从Netscape开发SSL2.0以来的早期。TLS的引入使问题变得更具有挑战性,因为服务器和客户端根据各个ssl引擎提供不同的可用选项。 (OpenSSL、NSS、SChannel等)他们用。事实证明,找到中间地带是很困难的,特别是因为支持的协议和密码套件大多没有文档化。
TLS/SSL Sweet32 attack 、TLS/SSL Weak Cipher Suites漏洞检测及修复
qq274575499的博客
04-03 5479
TLS/SSL Sweet32 attack 、TLS/SSL Weak Cipher Suites漏洞
webInspect SprinBoot2.x安全整改
u011311291的博客
12-13 4830
都是基于Springboot2.x整改 一.Insecure Transport: Weak SSL Cipher Insecure Transport: Weak SSL Cipher(11285) Insecure Transport: Weak SSL Protocol(11516) Insecure Transport: Weak SSL Protocol(11395) 需要进行两步操作:...
SSL Medium Strength Cipher Suites Supported (SWEET32)
热门推荐
par@ish的博客
05-06 1万+
Description The remote host supports the use of SSL ciphers that offer medium strength encryption. Nessus regards medium strength as any encryption that uses key lengths at least 64 bits and less than 112 bits, or else that uses the 3DES encryption suite.
SSL安全套接字服务器和客户端代码示例
kjfcpua的专栏
12-03 1055
SSL,大家都知道,只要是想搞用证书来实现数据加密传输的,都离不开它,例如HTTPS也是类似的实现,我提供的这个代码就是2004年时候学习SSL时的练习代码,带有详细说明,有需要的可以试试,毕竟我也现在也用不到这个代码,放在那里是浪费。文件列表: 运行很简单,先运行4,然后运行5,再运行6,就OK了,可以看到安全服务器
SSL/TLS Cipher Suites
顺其自然~专栏
02-25 4122
Cipher Suite 一个加密算法套件(CipherSuite)是一个四件套,由各类基础的加密算法组成,主要包含了四类: Key Exchange 密钥交换算法; Authentication 身份认证算法; Encryption 对称加密算法; Message Authentication Code 消息认证码算法(信息摘要缩放); 密钥交换算法 顾名思义,该算法用来交换秘钥。 SSL 通信过程(握手结束后)中,双方使用的是对称加密的方式 。由于通信双方以前并不知道彼此的存在,它们也
Linux SSH弱密钥交换算法(Weak Key Exchange Algorithms)检查及修复
promise524的博客
12-04 926
在Linux环境中,是指存在安全漏洞的算法,这些算法可能被攻击者利用进行中间人攻击或其他形式的密码学攻击。和。
tls_weak_protocol漏洞修复
06-13
TLS_WEAK_PROTOCOL漏洞是指在使用TLS协议进行通信时,存在某些旧的、弱的加密算法和协议可以被攻击者利用,从而窃取通信内容或者伪造通信内容。要修复这个漏洞,可以采取以下措施: 1. 更新TLS协议版本。使用最新的TLS协议版本可以避免弱加密算法和协议的使用。 2. 禁用弱加密算法和协议。在TLS协议中,可以设置参数来禁用弱加密算法和协议,从而保证通信的安全性。 3. 更新TLS协议实现库。TLS协议实现库是指TLS协议的实现代码,不同的实现库可能存在不同的漏洞和问题,因此需要更新TLS协议实现库来修复漏洞。 4. 加强网络安全防护。除了修复漏洞外,还可以加强网络安全防护措施,例如加强入侵检测、加强访问控制等等,从而保证通信的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Charlven

你的鼓励将是我最大的动力哦

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值