Получил работу в компании без личного опыта и получил задание по вопросам соблюдения. Проблема «Поддерживается TLSv1.0». Проведенное мною исследование показало, что это проблема прикладного уровня в IP Suite. Как бы я решил эту проблему, как, когда я зашел в Национальную базу данных уязвимостей, она не показывает эту уязвимость, это относительно новая уязвимость? Как мне решить проблему?
1 ответ
0
Поскольку мы понятия не имеем, какая у вас ОС, серверное программное обеспечение или что-то в этом роде, я предложу некоторую общую информацию, которая укажет вам правильное направление.
Примечание. Вполне возможно, что серьезные изменения конфигурации могут повлиять на другое программное обеспечение, работающее в системе.Лучше всего сделать полную резервную копию сервера, прежде чем начать. Еще лучше восстановить эту резервную копию на виртуальной машине и протестировать изменения перед ее внедрением в производство.
Если у вашей компании еще нет сертификата для SSL, вам необходимо будет приобрести его, например, здесь: https://www.digicert.com/ Предпочтительно, EV cert. Для личного использования позволяет использовать шифрование, но вам нужно пройти проверку соответствия, чтобы оно не было достаточно хорошим.
На серверах linux и / или ПК Сначала вам нужно убедиться, что у вас есть поддерживаемая версия openssl. Во многих случаях это означает обновление вашего libssl и / или libopenssl. https://www.openssl.org/
Наиболее распространенными являются веб-серверы, такие как apache и nginx.
- обновить вашу библиотеку SSL
- обновить веб-сервер
- Измените конфигурацию веб-сервера, чтобы использовать только TLS.
Большинство дистрибутивов Linux имеют встроенные менеджеры пакетов. Обратитесь к документации, которую поддерживает ваш linux, но вот несколько примеров. Вы, вероятно, хотите придерживаться обновления на данный момент, так как обновление вносит широкие системные изменения. Тем не менее, именно поэтому мы делаем полное резервное копирование на случай, если случится что-то плохое.
apt-get update
apt-get upgrade
apt-get distro
zypper update
zypper dup
На что планировать. Многие обновления версии apache имеют изменения конфигурации, и apache может изначально не запуститься. Вам нужно будет просмотреть файлы журнала, чтобы узнать, где находятся ошибки. Затем обратитесь к веб-сайту Google и Apache, чтобы обновить конфигурацию. Несколько раз находится в /var /log /apache /error_log
Для Apache, по крайней мере, эти параметры должны быть установлены. Вы можете изменить список разрешенных вещей, но это работает для меня.
В ssl-global.conf
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
SSLHonorCipherOrder on
# Point SSLCertificateFile at a PEM encoded certificate.
SSLCertificateFile /etc/apache2/ssl.crt/server.crt
SSLCertificateKeyFile /etc/apache2/ssl.key/server.key
ПК с Windows
Windows Server 2003 не поддерживает протокол TLS 1.2.
https://www.basics.net/2015/10/06/iis-7-5-how-to-enable-tls-1-1-and-tls-1-2/
Большинство версий Windows имеют поддержку TLS. Они, вероятно, используют IIS.
Это возможно, если у них есть супер старые версии или вам может потребоваться обновить.
Затем вам нужно отредактировать конфигурацию, чтобы отключить все версии SSL.