SSL密码中等强度，无法过等保，该如何修改？

link管理

链接快照平台

输入网页链接，自动生成快照
标签化管理网页链接

相关文章推荐

含蓄的松球 · 佳能：产品说明书：EOS R6：格式化· 6 月前 ·

要出家的米饭 · 手机推荐_原创频道_什么值得买· 7 月前 ·

行走的键盘 · vscode怎么多个条件搜索 • ...· 9 月前 ·

风度翩翩的芹菜 · 熔毁_抖抖音· 1 年前 ·

纯真的柑橘 · 术语表· 1 年前 ·

签到规则：

1.每日可签到答题一次，每签到一次可获得5积分，连续签到10天额外奖励50积分，连续签到20天以上额外奖励100积分；连续签到30天以上额外奖励200积分；

2.签到答题正确，获得经验值5点；

3.签到成功后，当天日期会有提示。

您好，参考

SSL/TLS协议信息泄露漏洞(CVE-2016-2183)：

TLS （ Transport Layer Security ，安全传输层协议）是一套用于在两个通信应用程序之间提供保密性和数据完整性的协议。 SSH （全称 Secure Shell ）是国际互联网工程任务组（ IETF ）的网络小组（ Network Working Group ）所制定的一套创建在应用层和传输层基础上的安全协议。 IPSec （全称 InternetProtocolSecurity ）是国际互联网工程任务组（ IETF ）的 IPSec 小组建立的一组 IP 安全协议集。 DES 和 Triple DES 都是加密算法。 ;TLS 、 SSH 和 IPSec 协议和其它协议及产品中使用的 DES 和 Triple DES 密码算法存在安全漏洞。远程攻击者可通过实施生日攻击利用该漏洞获取明文数据。

漏洞解决方案

Comware 平台参照 SSL/TLS 受诫礼 (BAR-MITZVAH) 攻击漏洞 (CVE-2015-2808) 解决方法，新建 ssl server policy ，关闭 des/3des 相关的加密套件。

升级2021年年度版本或更新版本后，参照SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)解决方法进行修复（链接如下：https://zhiliao.h3c.com/Theme/details/130547 ），其中加密套件禁用如下三种：
exp_rsa_des_cbc_sha
exp_rsa_rc2_md5
exp_rsa_rc4_md5

SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)【原理扫描】：

安全套接层（ Secure Sockets Layer ， SSL ），一种安全协议，是网景公司（ Netscape ）在推出 Web 浏览器首版的同时提出的，目的是为网络通信提供安全及数据完整性。 SSL 在传输层对网络连接进行加密。传输层安全（ Transport Layer Security ）， IETF 对 SSL 协议标准化（ RFC 2246 ）后的产物，与 SSL 3.0 差异很小。

SSL/TLS 内使用的 RC4 算法存在单字节偏差安全漏洞，可允许远程攻击者通过分析统计使用的大量相同的明文会话，利用此漏洞恢复纯文本信息。

漏洞解决方案

升级2021年年度版本或更新版本后，参照SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)解决方法进行修复（链接如下：https://zhiliao.h3c.com/Theme/details/130547 ），其中加密套件禁用如下三种：

exp_rsa_rc4_md5

rsa_rc4_128_md5

rsa_rc4_128_sha

检测到目标服务支持SSL弱加密算法

远程主机支持的 SSL 加密算法提供了中等强度的加密算法，目前，使用密钥长度大于等于 56bits 并且小于 112bits 的算法都被认为是中等强度的加密算法。

漏洞解决方案

升级2021年年度版本或更新版本后，参照SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)解决方法进行修复（链接如下：https://zhiliao.h3c.com/Theme/details/130547 ），

其中加密套件禁用如下两种：

rsa_aes_256_cbc_sha

dhe_rsa_aes_256_cbc_sha

2024-05-16回答

评论 ( 0 )

可以用这个，400给的答复

使用弱散列算法签署的 SSL 证书 (CVE-2004-2761)( 原理扫描 )

Comware 平台可以通过如下方式解决：
在设备上导入一个强 hash 算法的服务器证书，设备缺省算法是 md5 ，可以导入 sha 证书，证书服务器可参照网上教程自己搭建。
1. 导入 CA 证书 certnew.cer 和服务器证书 server.pfx
[H3C] pki import domain sslvpn der ca filename certnew.cer
[H3C] pki import domain sslvpn p12 local filename server.pfx

2.OpenSSL 信息泄露漏洞（ CVE-2016-2183 ）新建 ssl server policy ，关闭 des/3des 相关的加密套件
# 规避方式

undo ip http enable

undo ip https enable

[H3C]ssl server-policy fxm

[H3C-ssl-server-policy-fxm]ci

[H3C-ssl-server-policy-fxm]ciphersuite ? // 选个非 EDS ， 3EDS 的算法

dhe_rsa_aes_128_cbc_sha Cipher suite that uses DHE RSA, 128-bit AES_CBC, and

SHA

dhe_rsa_aes_256_cbc_sha Cipher suite that uses DHE RSA, 256-bit AES_CBC, and

SHA

exp_rsa_des_cbc_sha Export cipher suite that uses RSA, DES_CBC, and SHA

exp_rsa_rc2_md5 Export cipher suite that uses RSA, RC2, and MD5

exp_rsa_rc4_md5 Export cipher suite that uses RSA, RC4, and MD5

rsa_3des_ede_cbc_sha Cipher suite that uses RSA, 3DES_EDE_CBC, and SHA

rsa_aes_128_cbc_sha Cipher suite that uses RSA, 128-bit AES_CBC, and SHA

rsa_aes_256_cbc_sha Cipher suite that uses RSA, 256-bit AES_CBC, and SHA

rsa_des_cbc_sha Cipher suite that uses RSA, DES_CBC, and SHA

rsa_rc4_128_md5 Cipher suite that uses RSA, 128-bit RC4, and MD5

rsa_rc4_128_sha Cipher suite that uses RSA, 128-bit RC4, and SHA

引用这个策略：

ip https ssl-server-policy fxm

重启 https 服务。

ip http enable

ip https enable

2024-05-16回答

评论 ( 0 )

您好，当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到 [email protected] 邮箱，我们会在审核后尽快给您答复。

1. 您举报的内容是什么？（请在邮件中列出您举报的内容和链接地址）

2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

3. 是哪家企业？（营业执照，单位登记证明等证件）

4. 您与该企业的关系是？（您是企业法人或被授权人，需提供企业委托授权书）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。