精华内容
下载资源
问答
  • TLS/SSL协议目前有很多TLS1.3、TLS1.2、TLS1.1、TLS1.0、SSLv3.0 、SSLv2.0,后面三个算是比较弱的密码协议。 还有密码套件:DES/MD5这些弱密码协议。修改了上面的TLS协议密码套件后,TLS信任证书生成应用于域名...

    TLS/SSL协议目前有很多TLS1.3、TLS1.2、TLS1.1、TLS1.0、SSLv3.0 、SSLv2.0,后面三个算是比较弱的密码协议。

    还有密码套件:DES/MD5这些弱密码协议。修改了上面的TLS协议和密码套件后,TLS信任证书生成应用于域名。


    TLS协议修改:

    1. 打开注册表:

    2.备份注册表-协议导出

    路径:计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders

     

    3.修改注册表

    a.禁止的协议可以在Protocol项里面新建项-名字跟需要禁止的协议的名字相同

    b.在协议的项下面新建Client和Server两个项,同时新建DisableByDefault和Enable两个DWORD(32 位) 

    "Enabled"=dword:00000000

    "DisabledByDefault"=dword:00000001


    密码套件修改

    1. 打开本地组策略编辑器:

    2。修改路径如下:

    3.备份【SSL密码套件】,Ctrl+A选中全部,Ctrl+c复制,在桌新建文本文件,将SSL密码套件Ctrl+V保存在文件中。(可删除或增加你想要的密码套件):

    4. 修改上面保存的密码套件内容:

    5. 将【SSL密码套件】进行替换,复制文本中的密码套件替换。

    6. 在【PowerShell】上查看命令Get-TlsCipherSuite

    上面的协议和密码套件修改好了,需要重新启动计算机才行,强调一定得重启。


    TLS信任证书生成:

    openssl生成证书命令如下:

    1. openssl genrsa -out ca.key 1024

    2. openssl req -new -key ca.key -out ca.csr

    3.dir路径查看有没有生成成功:

    因为测试需要我这边修改是将高协议去掉,上面得操作结果显示如下:

    我上面得修改点有两个:

    1. 加了证书后,从ip变成了域名

    2. 测试需要将之前的高的TLS1.2、TLS1.1的两个协议去掉了。密码套件暂时没动。

    展开全文
  • Windows服务器使用IIS跑网站,在某些站点升级https后需要对IIS做权限安全配制,手工一个个去注册表找出来修改还是很麻烦的事~肿么办?可以使用IISCrypto工具进行直接设置,设置完成了保存,多数设置无需重启服务器就...

       Windows服务器使用IIS跑网站,在某些站点升级https后需要对IIS做权限安全配制,手工一个个去注册表找出来修改还是很麻烦的事~肿么办?可以使用IISCrypto工具进行直接设置,设置完成了保存,多数设置无需重启服务器就可以即时生效(部份设置要重启才生效)。(阿里云,腾讯云,宝塔系统等等windows均适用)上图,有图有真相~

        设置完成后,使用这个工具,可以在线检测网站的SSL证书是否安全,是否存在漏洞,是否达到ssL行业标准,符合苹果ATS规范,能否通过微信小程序安全要求。同时提供证书格式转换,CSR,证书链,SSL配置生成等。点这里:SSL安全检测

      这里简单的介绍下IIS Crypto:

        IIS Crypto软件是一款专门为电脑服务器打造的智能管理工具,使管理员能够在Windows Server 2008、2012和2016上启用或禁用协议、密码、散列和密钥交换算法。用户可以通过软件对服务进行各类密码以及相关协议的重置,帮助用户轻松管理IIS安全,使用更加方便,它还允许您重新排序IIS提供的SSL/TLS密码套件!

     

    IIS Crypto使用Microsoft 从本文中的相同设置更新注册表 。它还以与组策略编辑器(gpedit.msc)相同的方式更新加密套件顺序。此外,IIS Crypto还允许您创建可以保存在多个服务器上的自定义模板。命令行版本包含与GUI版本相同的内置模板,也可以与您自己的自定义模板一起使用。

    IIS Crypto requires Windows Server 2008 and the .Net 4.0 framework or greater. Both GUI and command line versions are available.

    IIS Crypto是一款免费工具,使管理员能够在Windows Server 2008,2012和2016上启用或禁用协议,密码,哈希和密钥交换算法;它还允许您对IIS提供的SSL / TLS密码套件进行重新排序,实施最佳做法只需点击一下,创建自定义模板并测试您的网站!

    IIS Crypto主要功能:
    -命令行版本

    -启用前向保密

    -重新排列密码套件

    -启用TLS 1.1和1.2

    -站点扫描程序来测试您的配置

    -单击即可使用最佳做法保护您的网站

    -禁用弱协议和密码,如SSL 2.0,3.0和MD5

    -内置最佳实践,PCI,PCI 3.1和FIPS 140-2模板

    -创建可以保存并在多台服务器上运行的自定义模板

    -停止DROWN,logjam,FREAK,POODLE和BEAST

     

    IIS Crypto 2.0引入了创建自己的自定义模板的功能,可以保存然后在任意数量的服务器上执行。要创建您自己的模板,请选择您的配置的所有设置。点击模板按钮,如果需要,给你的模板一个名字,作者和描述。然后点击保存按钮将你的模板保存到磁盘。将模板复制到另一台服务器上,运行IIS Crypto,然后单击“打开”按钮以加载模板。您也可以从命令行版本的IIS Crypto中使用它。

    -加载最佳实践模板,然后开始自定义您自己的模板,以确保您的模板安全设置。

    -如果您的模板与IIS Crypto位于同一文件夹中,则它将自动显示在下拉框中,而无需先单击“打开”按钮。

     

    下载地址

    展开全文
  • 禁用 ssl/tls v11.1 协议

    千次阅读 2020-05-26 21:27:53
    PCI DSS合规标准于2018年6月30日生效,该标准要求禁用SSL协议和低版本TLS协议。 具体如何操作呢,针对haproxy代理服务器openshift router分别进行讲解。 1.haproxy服务器需要修改/etc/haproxy/haproxy.cfg,如下...

    PCI DSS合规标准于2018年6月30日生效,该标准要求禁用SSL协议和低版本TLS协议。

    具体如何操作呢,针对haproxy代理服务器和openshift router分别进行讲解。

    1.haproxy服务器需要修改/etc/haproxy/haproxy.cfg,如下图,添加no-sslv3 no-tlsv10 no-tlsv11

     重启haproxy服务,systemctl restart haproxy

    2.opesnhift router禁用低版本协议

    haproxy router镜像版本v3.11.200及以上在haproxy-config.templatehaproxy-config.template中直接定义最低协议版本,而该只可以通过读取环境变量获取,故直接添加环境变量SSL_MIN_VERSION:TLSv1.2即可。

     haproxy router镜像可在官网获取https://catalog.redhat.com/software/containers/detail/57ea8d0a9c624c035f96f452

    展开全文
  • SSL“安全套接层”协议TLS“安全传输层”协议,都属于是加密协议,在其网络数据传输中起到保护隐私数据的完整性。保证该网络传输的信息不会被未经授权的元素拦截或修改,从而确保只有合法的发送者接收者才能...

    TLS/SSl相关的攻击漏洞及检测方法大杂烩!

    • 曾以为爱可以排除万难,可万难过后,又有万难。

    漏洞介绍:

    • TLS/SSL介绍:
      SSL“安全套接层”协议,TLS“安全传输层”协议,都属于是加密协议,在其网络数据传输中起到保护隐私和数据的完整性。保证该网络传输的信息不会被未经授权的元素拦截或修改,从而确保只有合法的发送者和接收者才能完全访问并传输信息。
    • TLS/SSL主要漏洞介绍:
      1、 OpenSSL CCS注入漏洞 (CVE-2014-0224)
      在客户端和服务端握手阶段,OpenSSL协议不合时宜地接受密码更换说明(ChangeCipherSpec :CCS),而产生了该漏洞。攻击者可以发起中间人攻击并利用此漏洞篡改或监听SSL加密传输的数据。
      2、 Drown跨协议攻击TLS漏洞(CVE-2016-0800)
      DROWN漏洞主要利用SSLv2协议的脆弱性对TLS协议进行攻击。攻击者通过中间人攻击等手段截获和解密用户和服务器之间的加密通信,包括但不限于用户名和密码、信用卡号、电子邮件、即时消息,以及敏感文件。在一些常见的场景,攻击者还可以冒充一个安全的网站拦截或篡改用户看到的内容。。
      3、 OpenSSL FREAK Attack漏洞(CVE-2015-0204)
      攻击者可拦截受影响的客户端与服务器之间的 HTTPS 连接,并强制其使用弱加密。客户端会在一个全安全强度的RSA握手过程中接受使用弱安全强度的出口RSA密钥,其中关键在于客户端并没有允许协商任何出口级别的RSA密码套件。当 TLS/SSL 客户端使用较弱的密钥交换方法时,攻击者可破解正在使用的密钥。攻击者使用破解的密钥,可在通信期间解密窃取数据,甚至恶意操作敏感信息。
      4、 Heartbleed (CVE-2014-0160)
      主要出现在openSSL处理TLS心跳的过程中,TLS心跳的流程是:A向B发送请求包,B收到包后读取这个包的内容(data),并返回一个包含有请求包内容的响应包。请求包的内容(data)中包含有包的类型(type)和数据长度等信息。有张图片不错:在这里插入图片描述
      5、SSL POODLE漏洞(CVE-2014-3566) TLS POODLE(CVE-2014-8730)
      该漏洞主要由于ssl3.0引起的,由于TLS填充是SSLv3的一个子集,因此可以使用针对TLS的POODLE攻击,禁用禁止SSL3.0和TLS1.2即可,该漏洞只对CBC模式的明文进行了身份验证,但是没有对填充字节进行完整性验证,攻击者窃取采用SSL3.0版加密通信过程中的内容,对填充字节修改并且利用预置填充来恢复加密内容,发动中间人攻击拦截用户浏览器和HTTPS站点的流量,然后窃取用户的敏感信息,如用户认证的cookies信息、账号信息等。
      6、OpenSSL FREAK Attack漏洞(CVE-2015-0204)
      攻击者可拦截受影响的客户端与服务器之间的 HTTPS 连接,并强制其使用弱加密。即客户端会在一个全安全强度的RSA握手过程中接受使用弱安全强度的出口RSA密钥,主要在于客户端并没有允许协商任何出口级别的RSA密码套件。当 TLS/SSL 客户端使用较弱的密钥交换方法时,攻击者可破解正在使用的密钥。攻击者使用破解的密钥,可在通信期间解密窃取数据,甚至恶意操作敏感信息。
      7、SSLv3降级加密协议Openssl Padding Oracle漏洞(CVE-2016-2107)
      当浏览器进行HTTPS连接失败的时候,将会尝试使用旧的协议版本,这其中就包括SSL 3.0,于是加密协议由更加安全的协议(比如:TLS 1.0)降级成SSL 3.0。然后利用SSLv3中存在的漏洞,解密得到其数据包的明文信息,而这些明文信息极有可能是用户的隐私数据,比如cookie,这样攻击者就可以拿到这些隐私数据,进行更深层次的攻击。
      8、SSL/TLS RC4算法漏洞(CVE-2015-2808)(CVE-2013-2566)
      SSL/TLS内使用的RC4算法存在单字节偏差和在初始化阶段没有正确将状态数据与关键字数据组合安全漏洞,可允许远程攻击者通过分析统计使用大量相同明文的大量会话,利用此漏洞恢复纯文本信息。
      9、TLS协议信息泄露漏洞(CVE-2012-4929)
      因SSL压缩造成的安全隐患,通过它可窃取启用数据压缩特性的HTTPS或SPDY协议传输的私密Web Cookie。在成功读取身份验证Cookie后,攻击者可以实行会话劫持和发动进一步攻击。
      10、SSL/TLS LogJam中间人安全限制绕过漏洞 (CVE-2015-4000)
      Logjam(CVE-2015-4000) 使用 Diffie-Hellman 密钥交换协议的 TLS 连接很容易受到攻击,尤其是DH密钥中的公钥强度小于1024bits。让有漏洞的TLS连线降级为512-bit出口等级的密码交换安全性,通过为两组弱 Diffie-Hellman 参数预先计算 512 字节质数完成,然后再读取或修改经由TLS加密连线传输的资料。于FREAK相似,但是freak攻击的为rsa算法。

    漏洞检测:

    在这里插入图片描述在这里插入图片描述

    余生很长,请多指教。
    

    在这里插入图片描述

    展开全文
  • 互联网的通信安全,建立在SSL/TLS协议之上。 本文简要介绍SSL/TLS协议的运行机制。文章的重点是设计思想运行过程,不涉及具体的实现细节。如果想了解这方面的内容,请参阅RFC文档。 一、作用 不使用SSL/TLS...
  • 如果目前正在运行火狐26,你可能已经注意到,浏览器仅支持SSL 3.0和TLS 1.0,默认不开启TLS 1.1或TLS 1.2。另外我们知道Firefox 27 已经实现了对TLS 1.2的支持。那么我们如何查看浏览器对TSL的支持情况?方法如下:...
  • 互联网的通信安全,建立在SSL/TLS协议之上。 本文简要介绍SSL/TLS协议的运行机制。文章的重点是设计思想运行过程,不涉及具体的实现细节。如果想了解这方面的内容,请参阅RFC文档。 一、作用 不使用SSL/TLS的...
  • httphttps的区别 与 SSL/TLS协议运行机制的概述 参考1 1 http 是不使用的SSL/TSL的通信通道 窃听风险:第三方获取通信内容 篡改风险:修改通信内容 冒充风险:冒充他人身份参与通信 2 SSL/TSL 协议应运而生 ...
  • TLS CA HTTPS真的安全吗??? HTTPS抓包与修改 参考 简介 HTTPS (全称:Hyper Text Transfer Protocol over SecureSocket Layer),是以安全为目标的 HTTP 通道,在HTTP的基础上通过传输加密身份认证保证了...
  • ssl和tls的区别

    2020-08-04 22:56:32
    SSL 是指安全套接字层,简而言之,它是一项标准技术,可确保互联网连接安全,保护两个系统之间发送的任何敏感数据,防止网络犯罪分子读取和修改任何传输信息,包括个人资料。两个系统可能是指服务器客户端(例如,...
  • 一.SSL简介 SSL(Secure Socket Layer)安全套接层,是用来保障Word Wide Web...二.SSL协议介绍 SSL是一个不依赖于平台应用程序的协议,位于TCP/IP协议与各种应用层协议之间,为数据通信提高安全支持 下图表示的是S
  • SSL“安全套接层”协议TLS“安全传输层”协议,都属于是加密协议,在其网络数据传输中起到保护隐私数据的完整性。保证该网络传输的信息不会被未经授权的元素拦截或修改,从而确保只有合法的发送者接收者才能...
  • https说明:SSL/TLS 系列中有五种协议SSL v2,SSL v3,TLS v1.0,TLS v1.1和TLS v1.2:SSL v2 是不安全的,不能使用。当与 HTTP(POODLE 攻击)一起使用时,SSL v3 是不安全的,当与其他协议一起使用时,S...
  • https说明:SSL/TLS 系列中有五种协议SSL v2,SSL v3,TLS v1.0,TLS v1.1和TLS v1.2:SSL v2 是不安全的,不能使用。当与 HTTP(POODLE 攻击)一起使用时,SSL v3 是不安全的,当与其他协议一起使用时,SSL v3 是弱...
  • SSL/TLS

    2015-03-24 20:58:16
    1. 概念 SSL是由Netscape发明,V3版本...IETF在Openssl3.0的基础上做了一些细微的修改,编写了TLS1.0版本,也即SSL3.1。   SSL构件 SSL用来提供端到端的可信TCP链接,SSL涉及到2层协议,如下图 SSL握手协议 SS
  • 邮件推送SSL/TLS加密连接

    千次阅读 2019-06-10 12:19:20
    邮件发送加密通道分为SSL和TLS两种方式,SSL“安全套接层”协议TLS“安全传输层”协议,都属于是加密协议(详细介绍 点击这里),加密模式下各协议端口也发生变化,不同的邮箱可能端口不同,基本上 stmp非SSL默认...
  • HTTPS中涉及的SSL/TLS浅聊先说是什么历史背景SSL协议提供的服务有哪些SSL与TLS的区别Charles抓包的Https部分数据总结 先说是什么 SSL(Secure Socket Layer 安全套接层)是基于HTTPS下的一个协议加密层,简而言之,它...
  • https/ssl/tls

    2019-09-09 14:34:21
    SSL 是指安全套接字层,简而言之,它是一项标准技术,可确保互联网连接安全,保护两个系统之间发送的任何敏感数据,防止网络犯罪分子读取和修改任何传输信息,包括个人资料。两个系统可能是指服务器客户端(例如,...
  • VC http/https(包含单向认证、双向认证源码、SSL协议设置) 这个类是从我现在正在开发的代码中扣出来的,但是耦合性应该不高,可以加入到其他工程使用,带S的函数是针对多线程压力测试几乎没有捕获异常。代码以先...
  • 出现这样的问题,可能是wireshark配置的SSL/TLS端口数据包实际的端口不匹配,导致wireshark不去解析未知端口的SSL/TLS流量信息,可以按如下截图修改。 转载于:...
  • 网络协议TLS

    2016-03-27 11:08:00
    前言 由于在TCP、UDP等方式传输数据时,...如果正确的使用SSL,第三方只能推断连接的两端地址、加密类型,以及数据频率发送的大概数据量,但无法读取或修改任何实际数据。IETF后来在标准化SSL协议时,将其改...
  • 出现这样的问题,可能是wireshark配置的SSL/TLS端口数据包实际的端口不匹配,导致wireshark不去解析未知端口的SSL/TLS流量信息,可以按如下截图修改。 在SSL Ports上加上自定义安全端口 ...
  • SSL,TLS中间人攻击

    千次阅读 2018-07-28 12:01:33
    ICMP协议,STP协议,OSPF路由协议 攻击前提 客户端已经信任伪造证书 攻击者控制了核发证书颁发机构 客户端程序禁止了显示证书错误警告信息 攻击者已控制客户端,强制信任伪造证书 解密中间人流量的工具...
  • tomcat 将http协议改为https协议,Websocket请求ws协议修改为wss协议 一、 说明 WS协议和WSS协议两个均是WebSocket协议的SCHEM,两者一个是非安全的,一个是安全的,也是统一的资源标志符。就好比HTTP协议和HTTPS...
  • 为了提高证书的加密安全,启用TLS1.2,但配置完后显示仍然是TLS1.0,后来发现,nginx上面配置了很多vhost,只将一个站点修改TLS1.2是不起作用的,于是,将所有站点的配置都加上了TLS1.2的支持,问题解决。...

空空如也

空空如也

1 2 3 4 5
收藏数 89
精华内容 35
关键字:

修改tls和ssl协议