Web 检查中的弱 SSL 协议 TLS v1.0
Weak SSL Protocol TLS v1.0 in web inspect
我是 运行 Azure 中部署的网站 (.NET) 上的 HP WebInspect 工具。我遇到了一个关于弱 SSL 协议 TLS v1.0 的严重问题。(有关以下错误的更多详细信息)。需要什么修复才能消除此问题?
详情:
TLS 1.0 被认为是不安全的,因为它缺乏对强密码套件的支持,并且已知受到几个已知漏洞的困扰。它要么使用容易受到偏差攻击的 RC4 密码,要么使用密码块链接 (CBC) 模式密码,这为 POODLE(Padding Oracle On Downgraded Legacy Encryption)攻击提供了条件。 NIST 特别出版物 800-52 修订版 1 不再将 TLS 1.0 视为强加密。 TLS 1.0 也不再符合 PCI DSS v3.1 要求。 PCI 认为 TLS 1.0 不足以保护持卡人数据,并已从 2016 年 6 月开始弃用它。更新:PCI DSS 已将迁移到 TLS1.1 或更高版本的截止日期延长至 2018 年 6 月 30 日。
根据您的描述,我使用https://www.ssllabs.com/ssltest/检查了Azure Web Apps提供的支持协议如下:
此外,我检查了我的 azure web 应用程序,发现它在 TLS 1.2 下,但密码已过时如下:
我假设您是在谈论将 TLS 设置为更高版本或禁用 TLS 1.0。我找到了一个官方博客关于 How to disable TLS 1.0 on an Azure App Service Web App, and you could Configure TLS for App Service Environments,但是它很贵。
此外,我发现了关于 Disable TLS1.0, and someone commented that you could disable TLS 1.0 on Azure Web App via using the custom domain and Application Gateway, details you could follow here 的反馈。此外,您可以使用 Azure 云服务或 VM 来控制它,而不是 Azure Web 应用程序。
您的问题不是 TLS 1.2。相反,它是 HMAC-SHA1。您拥有的散列使用 SHA1(安全散列算法),通过消息摘要 (MD) 为您提供 160 位散列。如果您查找它,您会发现 MD5 是一种被认为已损坏(有缺陷)的消息摘要形式。事实证明,SHA1 是从 MD4 派生出来的(而 MD4 是 MD5 的早期形式),所以它被破坏了。
现在的标准是使用 SHA256(一种密钥哈希消息验证码)。在进行此操作时,请确保对于生产站点,您使用的密钥长度大于 1024 位。有 2 个通用密钥,Diffie-Hellman 和 RSA。因此,寻找至少提供 2048 位 DH 或 RSA 密钥的密码。
我是 运行 Azure 中部署的网站 (.NET) 上的 HP WebInspect 工具。我遇到了一个关于弱 SSL 协议 TLS v1.0 的严重问题。(有关以下错误的更多详细信息)。需要什么修复才能消除此问题?
详情:
TLS 1.0 被认为是不安全的,因为它缺乏对强密码套件的支持,并且已知受到几个已知漏洞的困扰。它要么使用容易受到偏差攻击的 RC4 密码,要么使用密码块链接 (CBC) 模式密码,这为 POODLE(Padding Oracle On Downgraded Legacy Encryption)攻击提供了条件。 NIST 特别出版物 800-52 修订版 1 不再将 TLS 1.0 视为强加密。 TLS 1.0 也不再符合 PCI DSS v3.1 要求。 PCI 认为 TLS 1.0 不足以保护持卡人数据,并已从 2016 年 6 月开始弃用它。更新:PCI DSS 已将迁移到 TLS1.1 或更高版本的截止日期延长至 2018 年 6 月 30 日。
根据您的描述,我使用https://www.ssllabs.com/ssltest/检查了Azure Web Apps提供的支持协议如下:
此外,我检查了我的 azure web 应用程序,发现它在 TLS 1.2 下,但密码已过时如下:
我假设您是在谈论将 TLS 设置为更高版本或禁用 TLS 1.0。我找到了一个官方博客关于 How to disable TLS 1.0 on an Azure App Service Web App, and you could Configure TLS for App Service Environments,但是它很贵。
此外,我发现了关于 Disable TLS1.0, and someone commented that you could disable TLS 1.0 on Azure Web App via using the custom domain and Application Gateway, details you could follow here 的反馈。此外,您可以使用 Azure 云服务或 VM 来控制它,而不是 Azure Web 应用程序。
您的问题不是 TLS 1.2。相反,它是 HMAC-SHA1。您拥有的散列使用 SHA1(安全散列算法),通过消息摘要 (MD) 为您提供 160 位散列。如果您查找它,您会发现 MD5 是一种被认为已损坏(有缺陷)的消息摘要形式。事实证明,SHA1 是从 MD4 派生出来的(而 MD4 是 MD5 的早期形式),所以它被破坏了。
现在的标准是使用 SHA256(一种密钥哈希消息验证码)。在进行此操作时,请确保对于生产站点,您使用的密钥长度大于 1024 位。有 2 个通用密钥,Diffie-Hellman 和 RSA。因此,寻找至少提供 2048 位 DH 或 RSA 密钥的密码。