我的 Windows Server 2008R2 现在有 SSL v2 协议。由于安全漏洞,我计划禁用 SSL v2。
那么我应该启用 SSL v3 还是应该直接跳到TLS 1.1\ TLS 1.2?
如果我禁用 SSL v2 并且不启用任何更高版本,会出现任何安全问题吗?
答案1
是的你应该禁用 SSLv3赞成 TLSv1.1+。SSLv3 和 TLS1.0 被认为易受攻击到“在降级的旧式加密上填充 Oracle”中间人攻击,这可能会导致向攻击者泄露您的秘密数据(例如密码)......
答案2
除非您有特殊原因不这样做(即您需要支持旧版客户端),否则最好启用最高版本的 TLS(即 TLSv1.2),并禁用其他所有内容(当然,确保禁用 SSLv2 和 SSLv3)。
您可能还想调整(如果可以的话)您使用的特定密码。我找不到任何特定于 Windows 的密码,但 Mozilla 的服务器端 TLS可能会有用。
他们特别建议使用以下密码:
ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
他们还建议使用 TLSv1.2,并确保使用至少 2048 位的 RSA 密钥。
答案3
SSLv3 容易受到以下攻击:贵宾犬以及其他重要漏洞。
你确实应该选择 TLS v1.1+