我正在测试服务器的 Tomcat SSL 配置,并且使用了 ssl-enum-ciphers 脚本,nmap出现以下警告:
强度低于证书密钥的密钥交换参数
这是什么意思?我找不到关于此诊断的有意义的信息。
Tomcat server.xml 密码:
ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_DHE_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_RSA_WITH_AES_256_CBC_SHA256,TLS_DHE_RSA_WITH_AES_256_CBC_SHA,
TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_128_CBC_SHA256,
TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA"
答案1
这意味着服务器配置了具有特定密钥强度的证书(可能是 2048 位 RSA),但所使用的特定密码套件配置为使用强度较低的其他密钥交换材料。这很可能是强度为 1028 位的 Diffie-Hellman (DH) 参数。
要解决此问题,您可以从配置中删除与 DH 相关的密钥交换密码套件,或者生成并配置更强大的 DH 参数。有更多直接指导可用在weakdh.org