在一家公司找到了一份工作,但我没有个人 IT 经验,并被赋予了处理合规性问题的任务。问题是“TLSv1.0 支持”,我所做的研究表明,这是 IP 套件中的应用层问题。我该如何修复这个问题,因为当我访问国家漏洞数据库时,它没有显示这个漏洞,这是一个相对较新的漏洞吗?我该如何修复这个问题?
答案1
由于我们不知道您使用什么操作系统、服务器软件或任何类似的东西,所以我将提供一些一般信息来为您指明正确的方向。
笔记: 重大配置更改很可能会影响系统上运行的其他软件。最好在开始之前对服务器进行完整备份。最好将该备份还原到虚拟机,并在将更改应用于生产之前在那里测试更改。
如果您的公司尚未拥有 SSL 证书,则需要购买一个,例如: https://www.digicert.com/ 最好是 EV 证书。对于个人使用,let's encrypt 是可以的,但你需要通过合规性测试,所以这还不够好。
在 Linux 服务器和/或 PC 上首先,您需要确保您拥有受支持的 openssl 版本。在许多情况下,这意味着更新您的 libssl 和/或 libopenssl。 https://www.openssl.org/
最常见的是像 apache 和 nginx 这样的 Web 服务器。
- 更新 SSL 库
- 更新 Web 服务器
- 将 Web 服务器配置更改为仅使用 TLS。
大多数 Linux 发行版都有内置的包管理器。请查阅文档以了解您的 Linux 支持哪种包管理器,但这里有一些示例。您可能希望暂时坚持使用更新,因为升级会对整个系统造成巨大改变。即便如此,这也是我们进行完整备份以防万一的原因。
apt-get update
apt-get upgrade
apt-get distro
zypper update
zypper dup
需要规划什么。许多 apache 版本升级都会更改配置,并且 apache 最初可能无法启动。您必须查看日志文件才能知道错误位于何处。然后咨询 google 和 apache 的网站以更新配置。有时位于 /var/log/apache/error_log
对于 Apache,至少需要设置这些选项。您可以选择更改允许的事物列表,但对我来说这样就行了。
在 ssl-global.conf 中
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
SSLHonorCipherOrder on
# Point SSLCertificateFile at a PEM encoded certificate.
SSLCertificateFile /etc/apache2/ssl.crt/server.crt
SSLCertificateKeyFile /etc/apache2/ssl.key/server.key
Windows 电脑
Windows Server 2003 不支持 TLS 1.2 协议。
https://www.basics.net/2015/10/06/iis-7-5-how-to-enable-tls-1-1-and-tls-1-2/
大多数版本的 Windows 都支持 TLS。它们可能使用 IIS。
如果他们有非常旧的版本,你可能需要升级。
然后您需要编辑配置以禁用所有版本的 SSL。