更新时间:2022-05-07 GMT+08:00
如何修复TLS弱加密套件?
基本概念
加密套件是TLS/SSL协议中的一个概念,是指服务器和客户端所使用的加密算法组合。在TLS握手阶段,客户端将自身支持的加密套件列表告诉服务器,服务器根据自己支持的所有套件中选择一个作为之后所使用的加密方式。这些算法包括密钥交换算法、批量加密算法和消息认证码(MAC)算法,组合起来有数百种不同的密码套件。这些密码套件中有的安全性较差,称为弱加密套件,例如:TLS_DHE_RSA_WITH_AES_128_GCM_SHA256。
安全标准与兼容性
什么加密套件会被判定为弱加密套件,不同标准有着不同的判定方案,如PCI DSS的FS要求。不同厂商也会根据自身业务规定不同标准,如VSS就参考了《华为密码算法应用规范》来判定弱加密套件。
业务需要根据自身实际情况来调整加密套件,例如某些业务(如电商网站)为了追求最大兼容性也会舍弃一定的安全性、华为云WAF也为不同用户提供了多套加密套件的组合。
修复
在 TLS/SSL配置项中去除VSS扫描出的弱加密套件(详细请参见扫描报告漏洞信息“响应详情”中的内容)。
当用户判断弱加密套件为业务需要且风险可控时,则可忽略该漏洞。
配置修改方法
通常Web应用的TLS/SSL协议由Web容器配置(常见的Tomcat/Nginx/Apache),或者通过云服务供应商提供的服务配置(WAF/Https)。开发人员需要根据自身业务情况确认配置位置,并了解TLS/SSL相关配置项。常见的参考:
- Apache Tomcat 8 (8.5.73) - SSL/TLS Configuration How-To
- SSL/TLS Strong Encryption: How-To - Apache HTTP Server Version 2.4
- Nginx Configuring HTTPS servers
也可以参考Mozilla SSL Configuration Generator自动生成的TLS/SSL配置来修改。
修复验证
用户可以自行通过在线检测网站或开源工具验证(搜索引擎搜索SSL检测)。
父主题: 网站扫描类
网站扫描类所有常见问题
- 使用“一键认证”有什么要求?
- 如何快速发现网站漏洞?
- 如果网站登录需要动态验证码可以使用VSS的自动登录功能吗?
- 为什么扫描任务自动登录失败了?
- 创建网站扫描任务或重启任务不成功时如何处理?
- 网站漏洞扫描一次需要多久?
- 为什么任务扫描中途就自动取消了?
- 如何设置定时扫描?
- 域名认证完成后网站根目录下面的认证文件可以删除吗?
- 为什么执行下载认证文件操作后没有看到下载的认证文件?
- 创建任务时为什么总是提示域名格式错误?
- 认证文件有什么用途?
- 为什么域名认证失败?
- 如何将认证文件上传到网站根目录?
- 如何对网站进行域名认证?
- 如何修改VSS已添加的域名?
- 如何解决网站扫描失败,报连接超时的问题?
- 漏洞扫描服务支持web_CMS漏洞吗?
- 标准扫描、快速扫描和深度扫描有哪些区别?
- 已添加的域名是否可以删除?
- 如何查看漏洞扫描服务扫描出的网站结构?
- 如何获取网站cookie值?
- 网站cookie值发生变化时,如何进行网站漏洞扫描?
- 如何处理域名认证时提示“域名已被其他人使用”?
- 漏洞扫描服务可以扫描域名下的项目吗?
- 如何扫描弱密码?
- 网站扫描是否可以加/web访问?
- 可以扫描产品上线前的局域网站点吗?
- 可以在弱密码库中添加弱密码吗?
- 为什么漏洞发现时间早于扫描开始时间?
- 使用了Web应用防火墙,对网站扫描时SSL/TLS存在bar mitzvah attack漏洞?
- 专业版是否支持一级域名的扫描?
- 如何修复TLS弱加密套件?
- 为什么VSS多次扫描结果不一致?
more
