我们在RHEL 8.5操作系统平台上运行Java应用程序。在Apache的ssl.conf文件中,我们只启用了TLSv1.2协议。我们在应用程序中不使用TLSv1和TLSv1.1协议。
从下面的细节可以确认,从操作系统的Angular 来看,上述协议也被禁用。
update-crypto-policies --show
DEFAULTRHEL确认“TLS版本TLS 1.0和TLS 1.1协议在DEFAULT系统范围的加密策略级别中被禁用。“
从下面的命令结果中,可以确认TLS 1.0和TLS 1.1已从应用程序侧禁用。
[root@test ~]# openssl s_client -connect <IP_ADDRESS>:8443 -tls1
CONNECTED(00000003)
139679030896448:error:1409442E:SSL routines:ssl3_read_bytes:tlsv1 alert protocol version:ssl/record/rec_layer_s3.c:1544:SSL alert number 70
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 104 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1662128840
Timeout : 7200 (sec)
Verify return code: 0 (ok)
Extended master secret: no
-----------------------------------------
[root@test ~]# nmap -sV --script ssl-enum-ciphers -p 8443 <IP_ADDRESS>
Starting Nmap 7.70 ( https://nmap.org ) at 2022-09-20 20:02 IST
mass_dns: warning: Unable to open /etc/resolv.conf. Try using --system-dns or specify valid servers with --dns-servers
mass_dns: warning: Unable to determine any DNS servers. Reverse DNS is disabled. Try using --system-dns or specify valid servers with --dns-servers
Nmap scan report for XXXXX (IP_ADDRESS)
Host is up (0.00067s latency).
PORT STATE SERVICE VERSION
8443/tcp open ssl/http Apache httpd
|_http-server-header: Apache
| ssl-enum-ciphers:
| TLSv1.2:
| ciphers:
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
| compressors:
| NULL
| cipher preference: client
|_ least strength: A
MAC Address: 00:50:56:A7:92:7B (VMware)
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 12.90 seconds
-----------------------------------------请在“ssl.conf”上找到配置
SSLProtocol -ALL +TLSv1.2
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:AES256-CCM:DHE-RSA-AES256-CCM但我们感到困惑的是,为什么Nessus扫描漏洞显示TLS 1.0和TLS 1.1协议,即使这两个协议在所有可能性中都被禁用。
下面列出了漏洞详细信息,
- 104743 TLS版本1.0协议检测
- 157288 TLS 1.1版协议已弃用
从Nessus团队,我们知道端口4567使用以下密码,
TLS1_DHE_DSS_WITH_AES_128_CBC_SHA256
TLS1_DHE_DSS_WITH_AES_256_CBC_SHA256
TLS1_CK_DHE_DSS_WITH_AES_128_CBC_SHA
TLS1_CK_DHE_DSS_WITH_AES_256_CBC_SHA
TLS1_CK_DHE_DSS_WITH_3DES_EDE_CBC_SHA在我们的应用程序中,我们使用端口4567作为TRUSTSTORE_PORT,它正在下载应用程序运行所需的证书。
但我们只启用了TLSv1.2协议。如何启用TLS1密码?
请告诉我如何克服这些漏洞。
先谢了。
1条答案
按热度按时间bn31dyow1#
Nessus只是扫描仪。这种情况告诉你。默认工具和系统服务是安全的,但它不是在JVM内部运行的tomcat。你有两种方法来解决这个问题:
1.在JVM或Tomcat中全局禁用旧的加密协议。通常是在JVM中。你可以在邮件中为所有的java进程配置int,或者为JVM运行指定变量。其描述如下:Disabling TLSv1.0 in java8
1.更好的方法是将Apache配置为Tomcat的代理,并完全禁用Tomcat以允许TCP连接。你可以通过环回网络来实现。