SSL/TLS Recomendado Cifra Suites (PCI DSS) Vulnerabilidade
Gravidade: Média
ID do plug -in Tenable: 159543
Fundo
Nossa varredura de vulnerbailidade encontrou esse problema. Algumas portas SSL/TLS estão usando suítes cifras não seguras, como:
- ECDHE-RSA-AES256-SHA
- ECDHE-RSA-AES256-SHA384
O host remoto possui portas abertas SSL/TLS, que anunciam suítes cifras desencorajadas. É recomendável permitir apenas suporte para as seguintes suítes cifras:
Tlsv1.3:
– 0x13,0x01 TLS13_AES_128_GCM_SHA256
– 0x13,0x02 TLS13_AES_256_GCM_SHA384
– 0x13,0x03 TLS13_CHA20_POLY1305_SHA256
Tlsv1.2:
-0xc0,0x2b ECDHE-ECDSA-AES128-GCM-SHA256
-0xc0,0x2f ECDHE-RSA-AES128-GCM-SHA256
-0xc0,0x2C ECDHE-ECDSA-AES256-GCM-SHA384
-0xc0,0x30 ECDHE-RSA-AES256-GCM-SHA384
-0xCC, 0XA9 ECDHE-ECDSA-CACHA20-POLY1305
-0xcc, 0XA8 ECDHE-RSA-CACHA20-POLY1305
– 0xcc, 0xaa dhe_rsa_with_chacha20_poly1305_sha256
Esta é a configuração recomendada para a grande maioria dos serviços, pois é altamente segura e compatível com quase todos os clientes lançados nos últimos cinco (ou mais) anos.
Habilite apenas o suporte para suítes cifras recomendadas.
O host remoto possui portas de escuta SSL/TLS que anunciam os suítes cifristas desencorajadas descritas abaixo:
Cifras de alta resistência (> = chave de 112 bits)
Nome Código Kex Auth Encryption Mac
—————————————————————————
ECDHE-RSA-AES256-SHA 0XC0, 0x14 ECDH RSA AES-CBC (256) SHA1
ECDHE-RSA-AES256-SHA384 0XC0, 0x28 ECDH RSA AES-CBC (256) SHA384
Os campos acima são:
{Ciphername tardable}
{Código de identificação cifra}
Kex = {Key Exchange}
Auth = {autenticação}
Encrypt = {Método de criptografia simétrica}
Mac = {Código de autenticação da mensagem}
{bandeira de exportação}
Verificação
Encontre a cifra usando o Chrome
- Inicie o Chrome.
- Digite o URL que você deseja verificar no navegador.
- Clique na elipse localizada no canto superior direito no navegador.
- Selecione mais ferramentas> Ferramentas do desenvolvedor> Segurança.
- Procure a linha “conexão …”. Isso descreverá a versão do TLS ou SSL usada.
Testando usando serviços online gratuitos
https://hackertarget.com/ssl-check/
Como é o serviço nginx. Aqui está a configuração de remediação para esta questão que está acontecendo na porta 443.
servidor {
Ouça 443 Default_server SSL;
ssl_certificate /usr/local/nginx/conf/ssl/*.cer;
ssl_certificate_key/usr/local/nginx/conf/ssl/*key;
ssl_session_timeout 5m;
ssl_protocols tlsv1.2 tlsv1.3;
ssl_ciphers TLS_AES_128_GCM_SHA256: TLS_AES_256_GCM_SHA384: TLS_CHACHA20_POLY130_SHA256: ECDHE-ECDSA-AES128-GCM-SHA256: ECDE-RSA-AES-AES128-GCM256: ECDHE-AES-AES128-GCM256 E-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-ECDSA-CACHA20-POLY1305: ECDHE-RSA-CHACHA20-POLY1305: DHE-RSA-CHACHA20-POLILY1305;
ssl_prefer_server_ciphers on;
ssl_session_cache compartilhado: ssl: 20m;
# Voltar para 403 proibido
Localização / {
retornar 403;
}
}
servidor {
Ouça 80 Padrão;
retornar 301 https: // $ host $ request_uri;
}
Referências
- https://www.ssllabs.com/sssstest/
Relacionado
Solana Token Creator
Luis es un experto en Ciberseguridad, Computación en la Nube, Criptomonedas e Inteligencia Artificial. Con amplia experiencia en tecnología, su objetivo es compartir conocimientos prácticos para ayudar a los lectores a entender y aprovechar estas áreas digitales clave.
