SSL Certificate Signed Using Weak Hashing Algorithm 和SSL Medium Strength Cipher Suites Supported的解决方...

本文针对扫描器报告的SSL证书中危问题提供了解决方案,包括更换弱算法签名的证书和禁用中等强度的密码套件。通过修改注册表和设置证书权限,确保服务器安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这两天有个项目被扫描器报了几个中危,都是SSL证书的问题。记录一下解决方案吧。

第一个问题:SSL Certificate Signed Using Weak Hashing Algorithm

这里的原因是因为使用弱算法签名的证书。

解决方案查了下总结下来是换算法。

操作步骤:

  1、从证书颁发机构安装服务器的身份验证证书

  2、在注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp中配置自定义的证书来支持 TLS 而不是使用默认的自签名的证书的证书的 SHA1 哈希。

    新建值的名称:SSLCertificateSHA1Hash

      值类型:REG_BINARY

      值数据:证书指纹

    1. 这个值应由逗号分隔的证书的指纹,并没有空格。例如,如果您要导出该注册表项的 SSLCertificateSHA1Hash 值如下所示:

      "SSLCertificateSHA1Hash"= hex: 42,49,e1,6e,0a,f0,a0,2e,63,c4,5、 93、 fd,52,ad,09、 27、 82,1b,01

      注意: 需要直接编辑注册表,因为在 Windows 客户端配置服务器证书的 SKUs 没有用户界面。

    2. 在网络服务帐户下运行远程桌面主机服务。因此,有必要设置 RDS (由 SSLCertificateSHA1Hash 注册表值中指定的证书引用) 所使用的密钥文件的 ACL 具有"读取"权限包括网络服务。若要修改权限,请按照以下步骤:

      打开证书管理单元中的本地计算机:

      1. 单击开始,单击运行,键入mmc,请单击确定。

      2. 在文件菜单上单击添加/删除管理单元。

      3. 在添加或删除管理单元对话框中,在可用的管理单元列表中,单击证书,并单击添加。

      4. 在证书管理单元对话框中,单击计算机帐户,然后单击下一步。

      5. 在选择计算机对话框中,单击本地计算机: (运行此控制台的计算机),然后单击完成。

      6. 在添加或删除管理单元对话框中,单击确定。

      7. 证书管理单元中,在控制台树中,展开证书 (本地计算机),展开个人,然后导航到您想要使用的 SSL 证书。

      8. 用鼠标右键单击证书,选择所有任务,然后选择管理私钥。

      9. 在权限对话框中,单击添加,键入网络服务,在允许复选框,单击确定,选择读取然后单击确定。

 

      到这里差不多就可以完成了。

 

SSL Medium Strength Cipher Suites Supported
  这个问题的话也是修改注册表,修改注册表文件中的
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\
  新建一个名称为Enabled,值为0的注册表选项即可了。
DWORD key name 'Enabled' with value '0' to the cipher key with the size less than '128'.

转载于:https://www.cnblogs.com/ritte/p/9441918.html

回答: 问题描述的情况是,证书链中的某个SSL证书使用了弱哈希算法进行签名。这可能存在安全风险,因为MD2、MD4或MD5这些签名算法已知容易受到碰撞攻击。理论上,一个有决心的攻击者可能利用这个弱点生成另一个具有相同数字签名的证书,从而冒充受影响的服务。\[2\]解决这个问题的法是,您需要重新签发一个使用更强大的哈希算法进行签名的SSL证书,并将其安装在服务器上。同时,您还需要安装一个中间证书,将您的SSL证书与证书颁发机构(CA)的根证书关联起来,以确保证书的可信度。具体的安装测试步骤会因服务器而异,您可以参考相关的指南来完成这些操作。\[3\] #### 引用[.reference_title] - *1* *2* [SSL Certificate Signed using Weak Hashing Algorithm](https://blog.csdn.net/weixin_42369552/article/details/102589691)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [数字证书SSL的学习](https://blog.csdn.net/chaiyu2002/article/details/46922339)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值