【SSL】关于SSL的重协商,解决SSL 重协商拒绝服务安全漏洞
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了【SSL】关于SSL的重协商,解决SSL 重协商拒绝服务安全漏洞相关的知识,希望对你有一定的参考价值。
参考技术A 安全规范中有一条是要求尽量使用https而弃用http(新Chrome将标记非HTTPS网站为不安全)。为了满足安全规范,从http改造成https,然而启用https后就可以高枕无忧了吗?
绿盟告诉你:当然不,TLS Client-initiated 重协商攻击(CVE-2011-1473)了解一下。
检测服务是否开启重协商功能(用于CVE-2011-1473漏洞检测)
https://www.cnblogs.com/yurang/p/11532462.html
Jetty9架构解析
https://blog.csdn.net/elinespace?t=1
Jetty9架构解析-Jetty配置及部署(一)
https://blog.csdn.net/elinespace/article/details/52879587
Jetty9架构解析-Jetty配置及部署(二)
https://blog.csdn.net/elinespace/article/details/72864550
安全客
https://www.anquanke.com
How to disable re-negotiate in Spring boot embedded jetty
https://stackoverflow.com/questions/44575917/how-to-disable-re-negotiate-in-spring-boot-embedded-jetty
SSL/TLS协议安全之:不安全的重协商
https://www.anquanke.com/post/id/82989
How to disable Client-Initiated SSL renegotiation in 8.5.1 ?
https://forums.zimbra.org/viewtopic.php?t=55892
Configuring SSL/TLS
https://portail.capsana.ca/doc/9.4.5.v20170502/configuring-ssl.html
Configuring Jetty SSL Ciphers
https://help.percussion.com/rhythmyx/implementation/jetty/configuring-jetty-ssl-ciphers.html
启用HTTPS
https://www.cnblogs.com/zqyx/p/9670636.html
netty的SSL renegotiation攻击漏洞
https://www.cnblogs.com/zqyx/p/10256077.html
配置文件的属性加密
https://www.cnblogs.com/zqyx/p/9687136.html
Tomcat SSL 漏洞加固
http://www.defvul.com/tomcat-ssl
解决办法服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473)
使用SSL开启重协商的服务都会受该漏洞影响
Apache解决办法:
升级到Apache 2.2.15以后版本
IIS解决办法:
IIS 5.0启用SSL服务时,也会受影响。可以升级IIS 6.0到更高的版本。
Lighttpd解决办法:
建议升级到lighttpd 1.4.30或者更高,并设置ssl.disable-client-renegotiation = "enable"。
http://download.lighttpd.net/lighttpd/releases-1.4.x/
Nginx解决办法:
0.7.x升级到nginx 0.7.64
0.8.x升级到 0.8.23 以及更高版本。
http://nginx.org/en/download.html
Tomcat解决办法:
1、使用NIO connector代替BIO connector,因为NIO不支持重协商,参考如下配置:
<Connector protocol="org.apache.coyote.http11.Http11NioProtocol">
(可能会影响Tomcat性能);
2、配置Nginx反向代理,在Nginx中修复OpenSSL相关问题。
参考链接:
https://tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html
https://tomcat.apache.org/tomcat-7.0-doc/ssl-howto.html
http://tomcat.apache.org/security-7.html#Not_a_vulnerability_in_Tomcat
https://tomcat.apache.org/tomcat-6.0-doc/config/http.html#Connector_Comparison
Squid解决办法:
升级到3.5.24以及以后版本
http://www.squid-cache.org/Versions/
其它服务解决方案请联系各应用厂商确认关闭重协商的方法。
举例:ssl renegotiation disable
以上是关于【SSL】关于SSL的重协商,解决SSL 重协商拒绝服务安全漏洞的主要内容,如果未能解决你的问题,请参考以下文章
无法使用 Nginx(反向代理+SSL 协商)和 Tomcat 上传大文件