Use of deprecated TLS/SSL protocol version
使用已弃用的 TLS/SSL 协议版本
描述
SSL/TLS 家族中有六种协议:SSL v2、SSL v3、TLS v1.0、TLS v1.1、TLS v1.2 和 TLS v1.3:
- SSL v2 是不安全的,不得使用。此协议版本可利用 DROWN 攻击对 RSA 密钥和同名站点进行攻击。
- 由于 SSLv3 POODLE 攻击,当与 HTTP 一起使用时,SSL v3 是不安全的。当与其他协议一起使用时,该协议被认为是脆弱的。该协议已被弃用,不得使用。
- TLS v1.0 和 TLS v1.1 是遭受 BEAST 攻击的遗留协议。尽管现代实施已采取了一些缓解措施,但该协议仍然存在已知的弱点,并已从 2020 年 1 月起被 PCI DSS 和浏览器弃用。
- 目前尚未发现 TLS v1.2 和 v1.3 存在安全问题。
建议
TLS v1.2 或 TLS v1.3 应当作为支持的主要协议,因为此版本提供了现代的认证加密。
链接
标准
- OWASP_ASVS_L1:
- V9_1_3
- OWASP_ASVS_L2:
- V9_1_3
- OWASP_ASVS_L3:
- V9_1_3
- PCI_STANDARDS:
- REQ_2_2
- REQ_4_2
- REQ_6_4
- REQ_11_3
- SOC2_CONTROLS:
- CC_2_1
- CC_4_1
- CC_6_7
- CC_7_1
- CC_7_2
- CC_7_4
- CC_7_5
- HIPAA_CONTROLS:
- SECURITY252
- SECURITY212
- SECURITY213
- SECURITY255
- SECURITY258