TLSv1.0 wird unterstützt

647
Curtis Barnes

Ich bekam einen Job für ein Unternehmen ohne personalIT-Erfahrung und hatte die Aufgabe, an Compliance-Themen zu arbeiten. Das Problem ist "TLSv1.0 Supported", die Untersuchung, die ich durchgeführt habe, zeigt, dass es sich um ein Anwendungsschichtproblem in der IP Suite handelt. Wie gehe ich vor, um dieses Problem zu beheben, wenn ich zur National Vulnerability Database ging. Diese Sicherheitsanfälligkeit wird nicht angezeigt. Ist dies eine relativ neue Sicherheitsanfälligkeit? Wie gehe ich vor, um dieses Problem zu beheben?

-1
Das Unternehmen hat keine IT-Erfahrung ... oder nicht? Ihr Eröffnungssatz ist etwas mehrdeutig. Tetsujin vor 7 Jahren 0
Welche Dienste unterstützen TLS? Normalerweise ist dies ein Webserver. Welche Webserver-Software verwenden Sie? heavyd vor 7 Jahren 0
Ich habe keine zur Klarstellung. Curtis Barnes vor 7 Jahren 0
"Diese Sicherheitsanfälligkeit wird nicht angezeigt" - Welche Sicherheitsanfälligkeit? Derzeit gibt es Dutzende TLS / SSL-Vulnerabilties. Sie wissen, dass Sie versuchen sollten, TLSv1.2 und TLSv1.3 anstelle von v1.0 zu unterstützen, oder? Sie sollten TLSv1.0 ablehnen, da Sie die sichere Verbindung auf SSL 3.0 herabstufen können, das über eigene Vulnerabilitäten verfügt. Ramhound vor 7 Jahren 1
@Longnius - * Wenn Sie keine Klarstellung haben, können wir Ihnen nicht helfen. * Sie müssen diese Klarstellung erhalten, Ihre Frage bearbeiten und dann und nur dann können wir Ihnen helfen. Ramhound vor 7 Jahren 0
@ramhound ordnungsgemäß zur Kenntnis genommen. Wie kann ich die aktuelle Version von TLS von Version 1.0 auf die neueste Version 1.3 aktualisieren? Curtis Barnes vor 7 Jahren 0
@Longnius - v1.3 befindet sich derzeit in einem Normentwurf. Sie sollten sich einfach auf die Unterstützung von TLS v1.2 + konzentrieren. Ramhound vor 7 Jahren 0
#ramhound Okay, welche Schritte sollte ich zum Upgrade von V1.0 auf V1.2 ergreifen? Wenn Sie Lust haben, einen Schritt weiter in der Erklärung zu gehen. Curtis Barnes vor 7 Jahren 0
@Longnius, sollten Sie https://www.ssllabs.com/ssltest/ heavyd vor 7 Jahren 0
@Longnius - Sie müssen Ihrer Frage die erforderliche Klarstellung geben. Ich habe keine Ahnung, vor welcher SSL- / TLS-Verwundbarkeit Sie versuchen, Ihr System zu schützen. "Es ist ein Problem mit der Anwendungsschicht in der IP Suite" - dies sagt mir absolut nichts hilfreiches. Ramhound vor 7 Jahren 0
@Ramhound Das ist alles, was ich noch machen muss, dieser Bericht für PCI-DSS wurde mir gegeben und ich kann nur die Daten hochrechnen, die sie mir geben. Curtis Barnes vor 7 Jahren 0
Nun, in diesem Bericht haben sie wahrscheinlich gesagt, welchen Server sie gescannt haben oder was. Informieren Sie sich über das Betriebssystem und die Software auf diesem Server und prüfen Sie, ob ein Upgrade durchgeführt werden kann oder ob die Konfiguration geändert werden muss. Zoredache vor 7 Jahren 0
@Longnius - Wenn Sie die technischen Details nicht angeben können, ist es mir buchstäblich nicht möglich zu erklären, WIE Sie TLS v1.2 unterstützen würden, wenn das System dies nicht bereits unterstützt. Natürlich sagt mir 'PCI-DSS' sehr viel aus, es sagt mir, wie Sie mit Zahlungsinformationen umgehen, speziell und sehr wahrscheinlich mit einer Website. Dies bedeutet, dass Ihr SSL-Zertifikat so erstellt werden muss, dass TLS 1.2-Unterstützung möglich ist und Ihr Webserver-Backend so konfiguriert ist, dass nur TLS 1.2 unterstützt wird Ramhound vor 7 Jahren 0
@Ramhound Ich verstehe Ihre Frustrationen und stimme zu, dass die bereitgestellten Informationen für einen Anfänger selbst für einen erfahrenen IT-Experten nicht ausreichen. Vielen Dank für Ihre Beiträge, da es sehr hilfreich war und ich es zu schätzen weiß. Ich wünschte, ich könnte Ihnen weitere Einzelheiten mitteilen. Curtis Barnes vor 7 Jahren 0
Du könntest. Sie müssen diese Informationen nur von jemandem in Ihrem Unternehmen abrufen, der diese Informationen hat. Ramhound vor 7 Jahren 0
@Ramhound Ich bin der einzige IT-Mitarbeiter hier. Das Unternehmen hatte 5 Tage lang einen Ausfall, bevor das Unternehmen, das sie auslagerten, auch ihre IT kontaktierte. Sie wechselten und stellten mich ein, beide bezahlten für meine Ausbildung, damit sie in mich investieren können und ich von ihnen lernen kann. Curtis Barnes vor 7 Jahren 0
@Longnius Wissen Sie, welche Software geprüft wurde? Oder welche servie? Welches Betriebssystem betreiben Sie? heavyd vor 7 Jahren 0
Wenn Sie trainiert werden, was Sie darauf hinweisen, dass Sie durch die Tatsache, dass Sie gesagt haben "und dass ich von ihnen lernen kann", Sie sind, müssen Sie mit "ihnen" sprechen. Sie sind also ein Individuum, das keine Erfahrung hat und ist, aber von irgend jemandem, der diese Erfahrung hat, etwas erwartet wird. Es hört sich an, als ob Sie versagen würden. Ramhound vor 7 Jahren 2
Wenn das Unternehmen nicht zum Scheitern verurteilt ist, hat das Unternehmen wirklich keine Ahnung von den Problemen, mit denen es konfrontiert ist, und glaubt, dass es etwas ist, das von einem "Lernenden" erledigt werden kann. Sie haben das alte, vermutlich teure Unternehmen fallen gelassen und das Budget niedrig gehalten. @Longnius - entweder musst du schnell lernen oder schnell rauskommen: / Tetsujin vor 7 Jahren 0
@ramhound Nachdem ich mit meinem Chef gesprochen habe, wurde es jetzt (anders als früher) erklärt, dass sie das Unternehmen weiterhin nutzen, aber ich möchte, dass ich langsam ihren Platz einnehme. Ich werde eine Liste der Dienste erhalten, die dieses Unternehmen anbietet, wie das Hosting der Website, des Servers usw., sodass ich weitere Details angeben kann. Um nur eine gute Vorstellung davon zu bekommen, was ich fragen soll, könnten Sie mir ein paar Dinge geben, die ich bitten sollte, um die Dinge zu erleichtern? Curtis Barnes vor 7 Jahren 0
@Longnius - Ich kann Ihnen Ihren Job nicht beibringen, damit Sie wissen, welche Fragen Sie stellen müssen, und Sie müssen diese selbst bestimmen. Ramhound vor 7 Jahren 0
@Ramhound Ich bitte um allgemeine Fragen, die Sie empfehlen würden, nicht um meinen Job mir beizubringen. Es hilft, in eine allgemeine Richtung zu weisen und nicht in eine Richtung, aber ich verstehe. Curtis Barnes vor 7 Jahren 0
Wir haben Ihnen bereits eine Handvoll Fragen gegeben, auf die wir Antworten brauchen. Es klingt, als müssten Sie mehr Nachforschungen anstellen und ein besseres Verständnis Ihrer aktuellen Aufgabe haben. Ramhound vor 7 Jahren 0

1 Antwort auf die Frage

0
cybernard

Da wir keine Ahnung haben, über welches Betriebssystem Sie verfügen, über Serversoftware oder ähnliches, werde ich Ihnen einige allgemeine Informationen geben, die Sie in die richtige Richtung weisen.

Hinweis: Es ist durchaus möglich, dass größere Konfigurationsänderungen andere auf dem System ausgeführte Software beeinflussen. Es ist am besten, eine vollständige Sicherung des Servers zu haben, bevor Sie beginnen. Es ist noch besser, dieses Backup auf einer virtuellen Maschine wiederherzustellen und die Änderungen dort zu testen, bevor sie in der Produktion implementiert werden.

Wenn Ihr Unternehmen noch nicht über ein SSL-Zertifikat verfügt, müssen Sie eines erwerben, beispielsweise hier: https://www.digicert.com/ Vorzugsweise EV-Zertifikat. Für den persönlichen Gebrauch ist das Verschlüsseln gut, aber Sie müssen die Konformität bestehen, damit es nicht gut genug ist.

Auf Linux-Servern und / oder auf dem PC Zuerst müssen Sie sicherstellen, dass Sie über eine unterstützte Version von openssl verfügen. In vielen Fällen bedeutet dies, dass Sie Ihre libssl und / oder libopenssl aktualisieren. https://www.openssl.org/

Am häufigsten sind Webserver wie Apache und Nginx.

  1. Aktualisieren Sie Ihre SSL-Bibliothek
  2. Webserver aktualisieren
  3. Ändern Sie die Webserver-Konfiguration so, dass nur TLS verwendet wird.

Die meisten Linux-Distributionen verfügen über integrierte Paketmanager. Schlagen Sie in der Dokumentation nach, welche Ihr Linux unterstützt, es folgen jedoch einige Beispiele. Sie möchten wahrscheinlich vorerst bei einem Update bleiben, da beim Upgrade umfassende systemweite Änderungen vorgenommen werden. Aus diesem Grund machen wir ein vollständiges Backup, falls etwas Schlimmes passiert.

apt-get update apt-get upgrade apt-get distro  zypper update zypper dup

Was ist zu planen? Bei vielen Versions-Upgrades von Apache wurden Konfigurationsänderungen vorgenommen, und Apache kann anfangs nicht gestartet werden. Sie müssen die Protokolldateien anzeigen, um zu wissen, wo sich die Fehler befinden. Dann konsultieren Sie die Website von Google und Apache, um die Konfiguration zu aktualisieren. Einige Zeiten in / var / log / apache / error_log

Für Apache müssen mindestens diese Optionen eingestellt werden. Sie können die Liste der erlaubten Dinge ändern, aber es funktioniert für mich.

In ssl-global.conf

SSLProtocol all -SSLv2 -SSLv3 SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA SSLHonorCipherOrder on # Point SSLCertificateFile at a PEM encoded certificate. SSLCertificateFile /etc/apache2/ssl.crt/server.crt SSLCertificateKeyFile /etc/apache2/ssl.key/server.key

Windows PC

Windows Server 2003 unterstützt das TLS 1.2-Protokoll nicht.

https://www.basics.net/2015/10/06/iis-7-5-wie-her-zuerreichen-tls-1-1-und-tls-1-2/

Die meisten Windows-Versionen unterstützen TLS. Sie verwenden wahrscheinlich IIS.

Es ist möglich, wenn die Versionen älter sind oder Sie möglicherweise ein Upgrade durchführen.

Dann müssen Sie die Konfiguration bearbeiten, um alle SSL-Versionen zu deaktivieren.

Sie können "openSSL aktualisieren" durch ein allgemeineres "Aktualisieren Sie Ihre SSL-Bibliothek" ersetzen, da der Autor im Grunde darauf hinweist, dass das Wissen extrem eingeschränkt ist. Ramhound vor 7 Jahren 0

Verwandte Probleme