TLSv1.0 поддерживается

495
Curtis Barnes

Получил работу в компании без личного опыта и получил задание по вопросам соблюдения. Проблема «Поддерживается TLSv1.0». Проведенное мною исследование показало, что это проблема прикладного уровня в IP Suite. Как бы я решил эту проблему, как, когда я зашел в Национальную базу данных уязвимостей, она не показывает эту уязвимость, это относительно новая уязвимость? Как мне решить проблему?

-1
у компании нет опыта работы с ИТ ... или нет? Ваше вступительное предложение несколько двусмысленно. Tetsujin 7 лет назад 0
Какие сервисы поддерживают TLS? Обычно это веб-сервер. Какое программное обеспечение веб-сервера вы используете? heavyd 7 лет назад 0
У меня нет никаких разъяснений. Curtis Barnes 7 лет назад 0
«Это не показывает эту уязвимость» - какая уязвимость. В настоящее время существуют десятки уязвимостей TLS / SSL. Вы действительно понимаете, что должны пытаться поддерживать TLSv1.2 и TLSv1.3 вместо v1.0, верно? Вы должны отклонить TLSv1.0, поскольку он позволяет вам понизить безопасное соединение до SSL 3.0, который имеет свои собственные уязвимости. Ramhound 7 лет назад 1
@Longnius - * Если у вас нет каких-либо разъяснений, мы не сможем вам помочь. * Вам нужно получить это разъяснение, отредактировать свой вопрос, тогда и только тогда мы сможем вам помочь. Ramhound 7 лет назад 0
@рамхаунд должным образом отметил. Как мне перейти на обновление текущей версии TLS с версии 1.0 до последней версии 1.3? Curtis Barnes 7 лет назад 0
@Longnius - v1.3 в настоящее время находится в проекте стандарта. Вы должны просто сосредоточиться на поддержке TLS v1.2 +. Ramhound 7 лет назад 0
#ramhound Хорошо, какие шаги я должен предпринять, чтобы перейти с V1.0 на V1.2? Если вы склонны сделать шаг вперед в объяснении. Curtis Barnes 7 лет назад 0
@Longnius, вы должны проверить https://www.ssllabs.com/ssltest/ heavyd 7 лет назад 0
@Longnius - Вы должны предоставить необходимые разъяснения по вашему вопросу. Я понятия не имею, от какой уязвимости SSL / TLS вы пытаетесь защитить свою систему. «Это проблема прикладного уровня в IP Suite» - к сожалению, это не говорит мне абсолютно ничего полезного. Ramhound 7 лет назад 0
@ К сожалению, это все, что мне нужно, этот отчет для PCI-DSS был дан мне, и я могу только экстраполировать данные, которые они мне дают. Curtis Barnes 7 лет назад 0
В этом отчете они, вероятно, сказали вам, какой сервер они сканировали или что-то еще. Пойди выясни ОС и программное обеспечение на этом сервере и посмотри, можно ли его обновить или изменить конфигурацию. Zoredache 7 лет назад 0
@Longnius - Если вы не можете предоставить техническую информацию, я буквально не могу объяснить, КАК вы начали бы поддерживать TLS v1.2, если система еще не поддерживает его. Конечно, «PCI-DSS» говорит мне многое, говорит о том, что вы имеете дело с платежной информацией, в частности и очень вероятно с веб-сайтом. Это означает, что ваш SSL-сертификат должен быть создан таким образом, чтобы была возможна поддержка TLS 1.2, а бэкэнд вашего веб-сервера настроен на поддержку только TLS 1.2. Ramhound 7 лет назад 0
@Ramhound Я понимаю ваше разочарование и согласен с тем, что предоставленной информации недостаточно даже для начинающего ИТ-специалиста. Спасибо за ваш вклад, хотя это было очень полезно, и я ценю это. Я хотел бы предоставить вам более подробную информацию. Curtis Barnes 7 лет назад 0
Вы могли бы. Вам просто нужно узнать эти подробности у кого-то в вашей компании, которая имеет эту информацию. Ramhound 7 лет назад 0
@ Ramhound Я единственный айтишник здесь. У компании был перерыв в работе в течение 5 дней, прежде чем компания, передающая на аутсорсинг свои ИТ, тоже связалась с ними. Они меня поменяли и наняли, заплатив за обучение, чтобы они могли инвестировать в меня и чтобы я мог учиться у них. Curtis Barnes 7 лет назад 0
@ Лонгниус, ты знаешь, какое программное обеспечение проверялось? Или какой сервис? Какую операционную систему вы используете? heavyd 7 лет назад 0
Если вас обучают, на что вы указываете тем, что сказали «и что я могу учиться у них», вам нужно поговорить с «ними». Таким образом, вы - человек, у которого нет опыта, и вы находитесь, но ожидаете чего-то без какой-либо помощи от кого-либо, кто имеет такой опыт. Похоже, вы настроены на провал. Ramhound 7 лет назад 2
Если не настроен на провал, то компания действительно не имеет ни малейшего представления о проблемах, с которыми они сталкиваются, и думает, что это может быть решено «учеником на работе». Они отбросили старую, предположительно дорогую компанию и ушли в бюджет. @Longnius - вам придется учиться быстро или быстро уходить: / Tetsujin 7 лет назад 0
@ramhound После разговора с моим боссом, как теперь объяснили (сильно отличается от ранее), они продолжают использовать компанию, но хотят, чтобы я медленно занял их место. Я получу список услуг, предоставляемых этой компанией, таких как размещение веб-сайта, сервера и т. Д., Чтобы я мог предоставить более подробную информацию. Просто чтобы получить хорошее представление о том, что спрашивать, не могли бы вы дать мне пару вещей, которые я должен попросить, чтобы сделать вещи проще? Curtis Barnes 7 лет назад 0
@Longnius - я не смогу преподавать вам вашу работу, поэтому вы знаете, какие вопросы задавать, вам придется самому определять их. Ramhound 7 лет назад 0
@Ramhound Я спрашиваю об общих вопросах, которые вы бы порекомендовали, а не о том, чтобы мне преподавали мою работу. Это помогает указывать в общем направлении, а не в каком-либо направлении, но я понимаю. Curtis Barnes 7 лет назад 0
Мы уже дали вам несколько вопросов, ответы на которые нам нужны. Похоже, вы должны больше заниматься исследованиями и лучше понимать, какова ваша текущая задача. Ramhound 7 лет назад 0

1 ответ на вопрос

0
cybernard

Поскольку мы понятия не имеем, какая у вас ОС, серверное программное обеспечение или что-то в этом роде, я предложу некоторую общую информацию, которая укажет вам правильное направление.

Примечание. Вполне возможно, что серьезные изменения конфигурации могут повлиять на другое программное обеспечение, работающее в системе. Лучше всего сделать полную резервную копию сервера, прежде чем начать. Еще лучше восстановить эту резервную копию на виртуальной машине и протестировать изменения перед ее внедрением в производство.

Если у вашей компании еще нет сертификата для SSL, вам необходимо будет приобрести его, например, здесь: https://www.digicert.com/ Предпочтительно, EV cert. Для личного использования позволяет использовать шифрование, но вам нужно пройти проверку соответствия, чтобы оно не было достаточно хорошим.

На серверах linux и / или ПК Сначала вам нужно убедиться, что у вас есть поддерживаемая версия openssl. Во многих случаях это означает обновление вашего libssl и / или libopenssl. https://www.openssl.org/

Наиболее распространенными являются веб-серверы, такие как apache и nginx.

  1. обновить вашу библиотеку SSL
  2. обновить веб-сервер
  3. Измените конфигурацию веб-сервера, чтобы использовать только TLS.

Большинство дистрибутивов Linux имеют встроенные менеджеры пакетов. Обратитесь к документации, которую поддерживает ваш linux, но вот несколько примеров. Вы, вероятно, хотите придерживаться обновления на данный момент, так как обновление вносит широкие системные изменения. Тем не менее, именно поэтому мы делаем полное резервное копирование на случай, если случится что-то плохое.

apt-get update apt-get upgrade apt-get distro  zypper update zypper dup

На что планировать. Многие обновления версии apache имеют изменения конфигурации, и apache может изначально не запуститься. Вам нужно будет просмотреть файлы журнала, чтобы узнать, где находятся ошибки. Затем обратитесь к веб-сайту Google и Apache, чтобы обновить конфигурацию. Несколько раз находится в / var / log / apache / error_log

Для Apache, по крайней мере, эти параметры должны быть установлены. Вы можете изменить список разрешенных вещей, но это работает для меня.

В ssl-global.conf

SSLProtocol all -SSLv2 -SSLv3 SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA SSLHonorCipherOrder on # Point SSLCertificateFile at a PEM encoded certificate. SSLCertificateFile /etc/apache2/ssl.crt/server.crt SSLCertificateKeyFile /etc/apache2/ssl.key/server.key

ПК с Windows

Windows Server 2003 не поддерживает протокол TLS 1.2.

https://www.basics.net/2015/10/06/iis-7-5-how-to-enable-tls-1-1-and-tls-1-2/

Большинство версий Windows имеют поддержку TLS. Они, вероятно, используют IIS.

Это возможно, если у них есть супер старые версии или вам может потребоваться обновить.

Затем вам нужно отредактировать конфигурацию, чтобы отключить все версии SSL.

Вы можете заменить «обновить openSSL» на более общее «обновить вашу библиотеку SSL», поскольку автор в основном указал, что их знания чрезвычайно ограничены. Ramhound 7 лет назад 0

Похожие вопросы