为什么要禁用SSL2.0、SSL3.0和关闭TLS 1.0?

关闭不安全的通讯协定SSLv2,避免遭受中间人攻击

近期国际资安专家研究发现SSLv2具DROWN(Decrypting RSA with Obsolete and Weakened eNcryption , CVE-2016-0800) 安全性漏洞,其主要原因为SSLv2设计不当,导致存在安全威胁,包含:

同一密钥(Secret Key)用于讯息身分验证与加密。

认证密文(Cipher)只支援不安全的MD5杂凑值。

利用修改ClientHello与ServerHello封包,造成中间人(Man In the Middle, MItM)攻击。

目前大多数浏览器、网页服务器(HTTPS)及邮件服务器(SMTPS)均建议不采用SSLv2协定,避免遭受可能风险如:

攻击者可利用SSLv2协定的安全性漏洞,破解金钥交换加密算法,以取得加密金钥,进而还原加密封包,解析通讯内容。

 

人已赞赏
黑客安全

织梦DEDECMS Flash XSS漏洞

2018-5-27 21:39:59

黑客安全

刷入magisk manager面具一直卡在启动界面加载中的解决办法

2019-5-19 23:35:52

免责声明本文中提到的资源均来自于互联网,仅供个人学习交流,若您喜欢本文可附上原文链接随意转载。
版权人申诉:我要申诉
0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索