为什么要禁用SSL2.0、SSL3.0和关闭TLS 1.0?

关闭不安全的通讯协定SSLv2,避免遭受中间人攻击

近期国际资安专家研究发现SSLv2具DROWN(Decrypting RSA with Obsolete and Weakened eNcryption , CVE-2016-0800) 安全性漏洞,其主要原因为SSLv2设计不当,导致存在安全威胁,包含:

同一密钥(Secret Key)用于讯息身分验证与加密。

认证密文(Cipher)只支援不安全的MD5杂凑值。

利用修改ClientHello与ServerHello封包,造成中间人(Man In the Middle, MItM)攻击。

目前大多数浏览器、网页服务器(HTTPS)及邮件服务器(SMTPS)均建议不采用SSLv2协定,避免遭受可能风险如:

攻击者可利用SSLv2协定的安全性漏洞,破解金钥交换加密算法,以取得加密金钥,进而还原加密封包,解析通讯内容。

 

微信公众号:大雕哥
只服务一小部分有独立思考的高端用户!
100000人已关注
分享到:
赞(0) 打赏

评论抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏