跳转至

Outdated SSL/TLS Protocols Supported

支持过时的 SSL/TLS 协议

描述

此漏洞表明服务器支持一种或多种过时的 SSL/TLS 协议。这些协议存在已知的安全漏洞,在现代应用中被视为不安全。

过时的协议可能包括: - SSLv2 - SSLv3 - TLSv1.0 - TLSv1.1

这些协议具有多种可被攻击者利用的弱点,可能导致:

  1. 中间人 (MitM) 攻击
  2. 加密通信被解密
  3. 数据完整性受到破坏
  4. 强制使用较弱协议的降级攻击

示例场景: 攻击者可能会利用 SSLv3 中的 POODLE 漏洞来解密通过加密连接传输的敏感信息。这可能会导致登录凭据、会话令牌或其他机密数据暴露。

支持这些过时的协议还违反了各种安全标准和最佳实践,可能会影响对 PCI-DSS 等法规的合规性。

建议

为了缓解与过时 SSL/TLS 协议相关的风险,请考虑以下建议:

  1. 禁用过时的协议:
  2. 在所有服务器和应用程序上禁用对 SSLv2、SSLv3、TLSv1.0 和 TLSv1.1 的支持。

  3. 仅启用目前被认为是安全的 TLSv1.2 和 TLSv1.3。

  4. 更新 SSL/TLS 库:

  5. 确保所有 SSL/TLS 库和实现都已更新最新的安全补丁。

  6. 考虑使用具有安全默认设置且得到积极维护的现代 TLS 库。

  7. 配置强加密套件:

  8. 使用支持完全前向保密 (PFS) 的强加密套件。

  9. 禁用弱加密和哈希函数(例如,RC4、MD5、SHA1)。

  10. 实施安全的 TLS 配置:

  11. 遵循业界有关 TLS 配置的最佳实践,例如 Mozilla 的 SSL 配置生成器或 OWASP 的 TLS 备忘单。

  12. 使用 SSL Labs 的 SSL 服务器测试等工具定期测试您的 TLS 配置。

  13. 使用 HTTP 严格传输安全 (HSTS):

  14. 实施 HSTS 以确保客户端始终使用 HTTPS 连接到您的服务器,从而防止降级攻击。

  15. 考虑使用 TLS 1.3:

  16. 如果可能,启用对 TLS 1.3 的支持,该协议提供了比 TLS 1.2 更好的安全性和性能。

链接

标准

  • SOC2_CONTROLS:
    • CC_6_7
    • CC_7_1
  • CCPA:
    • CCPA_1798_150
  • GDPR:
    • ART_32
  • HIPAA_CONTROLS:
    • SECURITY252
    • SECURITY212
    • SECURITY213
    • SECURITY255
    • SECURITY258
  • PCI_STANDARDS:
    • REQ_2_3
    • REQ_4_1
    • REQ_6_5