Fre*_*red 2 encryption openssl rsa cbc-mode tls1.2
我在 cipherSuite 中有带有以下密码的 apache http 服务器。扫描后,我发现一些密码(CBC)很弱,需要删除。但我无法确定其中哪些实际上是 CBC。你能帮忙吗?
仅供参考 - 版本是
阿帕奇 2.4.23;openssl 1.0.2h;RHEL7
SSL密码套件:
ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256: DHE-DSS-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384: ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256: DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256: DHE-DSS-AES256-SHA:AES128-GCM-SHA256:AES256-GCM- SHA384: AES128-SHA256:AES256-SHA256:AES:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3 -SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!3DES
导致漏洞的 CBC 密码:如何识别上述套件中的这些密码? * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A*
我发现了一些带有“CBC3”的密码,但是当我删除它们时,Apache 不响应 https 请求。
CBC名称中带有 的任何密码都是 CBC 密码,可以删除。为了提高安全性,您还应该将密码从最强到最弱进行排序,并SSLHonorCipherOrder on在SSLProtocol all -SSLv3您的配置中进行设置。
Mozilla 有一个用于生成安全 Web 服务器配置的简洁工具,您可能会发现它很有用,特别是适用于您的 Apache 和 OpenSSL 版本的现代密码套件配置。之后,尝试Qualsys SSL 实验室测试,看看您的表现如何。
| 归档时间: |
|
| 查看次数: |
9958 次 |
| 最近记录: |