首页 > 其他分享 >SSL Medium Strength Cipher Suites Supported (SWEET32)漏洞修复

SSL Medium Strength Cipher Suites Supported (SWEET32)漏洞修复

时间:2024-05-15 11:32:14浏览次数:27  
标签:TLS Suites AES Strength CBC RSA ECDHE Cipher 128

近期对公司开发环境的机器进行了安全扫描,在扫描安全报告中出现了SSL Medium Strength Cipher Suites Supported (SWEET32)漏洞,汇报后领导表示需要进行修复,特记录此漏洞修复的过程。

漏洞产生的原因

漏洞的原因主要是由于SSL/TLS协议中使用的DES(Data Encryption Standard)及Triple DES(3DES)密码存在安全缺陷。这些密码算法使用64位的块大小,使得远程攻击者能够通过Sweet32攻击获取纯文本数据。

漏洞解决的方式

  • 避免使用存在安全缺陷的DES/3DES密码算法
  • 禁用弱密码套件

方案一:SSL密码套件替换

可参考微软学习中心:https://learn.microsoft.com/en-us/windows-server/security/tls/manage-tls

  • 运行窗口执行gpedit.msc命令
  • 按如下图的层级目录,选择SSL Configuration Settings
  • 选择编辑SSL Cipher Suite Order,进行SSL Cipher Suite数据修改
  • 修改前的原始数据
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_DHE_RSA_WITH_AES_256_CBC_SHA,
TLS_DHE_RSA_WITH_AES_128_CBC_SHA,
TLS_RSA_WITH_AES_256_GCM_SHA384,
TLS_RSA_WITH_AES_128_GCM_SHA256,
TLS_RSA_WITH_AES_256_CBC_SHA256,
TLS_RSA_WITH_AES_128_CBC_SHA256,
TLS_RSA_WITH_AES_256_CBC_SHA,
TLS_RSA_WITH_AES_128_CBC_SHA,
TLS_RSA_WITH_3DES_EDE_CBC_SHA,
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,
TLS_DHE_DSS_WITH_AES_256_CBC_SHA,
TLS_DHE_DSS_WITH_AES_128_CBC_SHA,
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA,
TLS_RSA_WITH_RC4_128_SHA,
TLS_RSA_WITH_RC4_128_MD5,
TLS_RSA_WITH_NULL_SHA256,
TLS_RSA_WITH_NULL_SHA,
TLS_PSK_WITH_AES_256_GCM_SHA384,
TLS_PSK_WITH_AES_128_GCM_SHA256,
TLS_PSK_WITH_AES_256_CBC_SHA384,
TLS_PSK_WITH_AES_128_CBC_SHA256,
TLS_PSK_WITH_NULL_SHA384,
TLS_PSK_WITH_NULL_SHA256
  • 修改进行替换数据
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384,
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256,
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384,
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,
TLS_DHE_DSS_WITH_AES_256_CBC_SHA,
TLS_DHE_DSS_WITH_AES_128_CBC_SHA,
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
  • 重启服务器即可

方案二:直接禁用3DES算法

此处不推荐用此方法,参考文章:https://help.defense.com/en/articles/6302810-ssl-medium-strength-cipher-suite-supported-sweet32-windows

Disable 3DES
To disable 3DES on your Windows server, set the following registry key:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\Triple DES 168]
“Enabled”=dword:00000000

标签:TLS,Suites,AES,Strength,CBC,RSA,ECDHE,Cipher,128
From: https://www.cnblogs.com/amsilence/p/18193476

相关文章

  • Qt静态编译后使用QtCipherSqlitePlugin静态编译库
       Qt静态编译后使用QtCipherSqlitePlugin静态编译库  语文功底不好,标题起的有点绕口,解释一下:   就是我使用的Qt是Qt5.15.2静态编译包(要Qt静态编译文件这里下载:QT5.15.2静态编译包下载-koomee-博客园(cnblogs.com)),  先入正题讲解决办法(12345走起):   ......
  • CIPHER命令 参数 显示或更改 NTFS 分区上目录[文件]的加密
    CIPHER是Windows操作系统中的一个命令行工具,用于执行文件和文件夹加密、解密以及管理加密密钥的操作。它主要用于对NTFS文件系统上的文件和文件夹进行加密,以保护数据的安全性。使用CIPHER命令,用户可以执行以下操作:加密文件和文件夹:通过指定路径和选项,可以对文件和文件......
  • 托管在 CloudFlare 的域名出现 ERR_SSL_VERSION_OR_CIPHER_MISMATCH 的解决方案
    前言昨天托管在CF的域名突然没办法访问了,提示ERR_SSL_VERSION_OR_CIPHER_MISMATCH,用curl和一堆在线网站测速的发现都是sslhandshakefailed这种提示,一开始还以为是我自己的问题,百度一番无果后就睡了一觉,今天起来发现还是这样,顿时就感觉不对劲了,我的网站也没......
  • Python3 使用 sqlcipher 来增强本地数据的安全性
    使用sqlcipher来增强本地数据的安全性本文是基于系列文章PyQt5+SQLAlchemy做登录注册页的补充,并不单独放在系列文中,主要讲的是,使用sqlcipher来保存本地密码,这比直接使用SQLite更安全关于sqlcipher,官方介绍原文如下:SQLCipherisastandaloneforkoftheSQLitedata......
  • ModuleNotFoundError: No module named ‘Crypto.Cipher‘或‘Crypto 的终极解决方案(
    转发源文档:https://juejin.cn/post/7120133494012903454 本文之前在c平台发布过,主要给出了此类问题的终极解决方案。亲测有效,且网友尝试后均解决问题! 长期以来,我对于ModuleNotFoundError:Nomodulenamed'Crypto.Cipher'问题和ModuleNotFoundError:Nomodulenamed'Cry......
  • No appropriate protocol (protocol is disabled or cipher suites are inappropriate
    问题原因:jdk版本过高导致,jdk1.8高版本对ssl做了限制1、在URL中添加在数据库后面添加?createDatabaseIfNotExist=true&useSSL=false2、修改JDK下的为java.security文件文件里查找:jdk.tls.disabledAlgorithms= 然后把红色部分删除。3、直接降低jdk版本(本人将jdk1.8.0_29......
  • Windows2008R2 IIS配置证书 ERR_SSL_VERSION_OR_CIPHER_MISMATCH 错误解决方法
    IISCrypto 用这个工具很方便,也可以手动修改注册表工具内置最佳实践,点击 BestPractices再Apply,然后重启服务器即可,设置前记得备份注册表。参考:https://blog.csdn.net/a873744779/article/details/103635882https://blog.csdn.net/jackbon8/article/details/82702563 ......
  • Windows下编译sqlcipher4的shell版本
    越来越多的应用开始接入SQLCipher4了,虽然在Windows上有工具可以打开,但是没法使用脚本解密,也就不能实现自动化。在网上找了很久都没有找到4的编译版本,因此自己找资料编译一下。准备安装openssl,并配置环境变量OPENSSSL_CONFIG,值为C:\ProgramFiles\OpenSSL-Win64\bin\openssl.c......
  • 2023年最新京东app端sign签名算法与cipher加解密逆向分析(2023-09-26)
    前言:  本文仅供学习交流,只提供关键思路不会给出完整代码,严禁用于非法用途,若有侵权请联系我删除!技术交流合作请私信!一.工具的选择(抓包工具的选择,是门学问)用到工具如下:1、安卓手机一台,系统版本:android6.01;型号:小米MI4LTE  之所以要选择android6手机,原理如下:  ......
  • Java:使用javax.crypto.Cipher的AES算法实现数据加密解密
    AES算法加密Stringalgorithm="AES/ECB/PKCS5Padding";//定义加密算法Stringkey="1234567890123456";//这是待加密的信息Stringmessage="HelloWorld.";//这是待加密的信息Ciphercipher=Cipher.getInstance(algorithm);cipher.init(Cipher.ENCRYPT......