我使用 DigiCert 颁发的证书部署了 SSL VPN。DigiCert 说我有 SHA2 证书。
但 Chrome 报告密钥交换机制是“您的连接使用过时的加密技术加密”TLS 1.0。
这会带来安全风险吗?我该如何摆脱这种风险?
我的密码套件选项是:
2911(config)#ip http secure-ciphersuite ?
3des-ede-cbc-sha Encryption type ssl_rsa_with_3des_ede_cbc_sha ciphersuite
des-cbc-sha Encryption type ssl_rsa_with_des_cbc_sha ciphersuite
rc4-128-md5 Encryption type ssl_rsa_with_rc4_128_md5 ciphersuite
rc4-128-sha Encryption type ssl_rsa_with_rc4_128_sha ciphe
答案1
TLS 1.0 存在一些已知的安全漏洞,您应该使用 TLS 1.1,如果可以的话最好使用 TLS 1.2。
您的“密钥交换机制”是指您正在使用的 TLS/SSL 协议。 http://en.wikipedia.org/wiki/Transport_Layer_Security#TLS_1.0
TLS 1.0 的安全问题主要被称为 Heartbleed。 http://en.wikipedia.org/wiki/Heartbleed
我为您提供了一些资源,以便您可以了解相关主题。按照 CJS 发布的说明操作,以帮助解决您的具体难题。
答案2
假设您的 Digicert 是使用 SHA2 颁发的,那么这是 VPN 服务器(在您的情况下是路由器)的问题。
你需要:
(1)将您的密码套件更改为 3DES 或更高版本。
(2)使用“crypto key generate ec”重新生成rsa密钥
(3)使用上一步中创建的 RSA 密钥重新生成具有新信任点的 CSR
(4)向CA提交CSR并获取新的CSR
(5)加载新证书