Embedded Files
TLS/SSL是用於保護資料在網路傳輸的加密通訊協定。根據美國國家安全局(NSA)的安全指引,建議停用舊版的TLS 1.0、TLS 1.1、SSL 2.0和SSL 3.0協定,因已有駭客利用舊版TLS協定進行攻擊。為了降低網路攻擊風險,NSA建議使用更安全的TLS 1.2或TLS 1.3加密通訊協定。TLS 1.2支援NULL、RC2、RC4、DES、IDEA和TDES/3DES等演算法,能有效防範網路威脅。未來仍需持續關注所使用的TLS/SSL協定的安全性。
+ 為什麼要關閉TLS1.0/1.1與SSL2.0/3.0?
+ 為什麼要關閉TLS1.0/1.1與SSL2.0/3.0?
它們存在多個已知的安全漏洞,攻擊者可以利用這些漏洞進行破解和敏感訊息竊取等惡意活動,此外,這些協議版本使用的加密算法相對較弱,無法提供足夠的安全性保護。所以關閉可以解決安全漏洞和加密強度不足的問題。
+ 關閉TLS1.0/1.1與SSL2.0/3.0可能導致什麼問題?
許多安全機構和標準制定組織建議關閉這些較舊的協議版本,以確保遵循最佳的安全實踐。儘管關閉這些協議版本可能會導致一些舊的瀏覽器或應用程序無法訪問網站,但這鼓勵使用者升級其瀏覽器或應用程序,從而提高整體網路安全。
+ 關閉舊版的TLS/SSL協議對網路通訊安全有什麼重要性?
關閉舊版的TLS/SSL協議是為了提升網路通訊的安全性,防止安全漏洞被利用並保護使用者個人隱私的安全。同時,使用新的加密協議能夠提供更強大的保護,抵禦不斷增長的安全威脅。
❔如何關閉TLS1.0/1.1?⬇️
❔如何關閉TLS1.0/1.1?⬇️
Step1. 搜索 「regedit 」並執行登錄編輯程式。
Step2. 搜索列輸入路徑 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\
Step3. 關閉 TLS 1.0、TLS 1.1
TLS1.0與TLS1.1的Client與Server內的機碼值修改為關閉
Step4. 開啟 TLS 1.2
將 TLS1.2 的 Client 與 Server 內的機碼值修改為開啟
🆕相關新聞
🆕相關新聞
有鑑於網頁加密驗證協定TLS 1.0及1.1版老舊,微軟、Google、蘋果、Mozilla四家瀏覽器業者宣佈準備在2020年終止支援,並建議採用TLS 1.2以後的版本。
微軟旗下的Internet Explorer (IE)及Microsoft Edge會在2020年上半預設關閉TLS1.0及1.1。 Google工程師表示,舊版TLS使用MD5和SHA-1,兩者目前都已被破解,而且多所漏洞。TLS 1.0也已無法符合PCI-DSS(PCI Data Security Standard)認證的要求。此外,TLS 1.2要求HTTP/2,也更能加快網站速度。
瀏覽器例如IE、Edge、Chrome、Safari及Firefox而言,目前皆建議網站採用TLS 1.2,而網頁連線也以TLS 1.2為主,目前TLS 1.0在1.1版的連線流量對各瀏覽器比例皆極低。
近期國際資安專家研究發現SSLv2具DROWN(Decrypting RSA with Obsolete and Weakened eNcryption , CVE-2016-0800)安全性漏洞,其主要原因為SSLv2設計不當,導致存在安全威脅,包含:
1.同一密鑰(Secret Key)用於訊息身分驗證與加密。
2.認證密文(Cipher)只支援不安全的MD5雜湊值。
3.利用修改ClientHello與ServerHello封包,造成中間人(Man In the Middle, MItM)攻擊。
目前大多數瀏覽器、網頁伺服器(HTTPS)及郵件伺服器(SMTPS)均建議不採用SSLv2協定,避免遭受可能風險如:攻擊者可利用SSLv2協定的安全性漏洞,破解金鑰交換加密演算法,以取得加密金鑰,進而還原加密封包,解析通訊內容。
[建議措施]
請各單位檢查SSLv2協定使用狀態,並依照修補方式關閉SSLv2協定(建議一併關閉SSLv3)
舉例相關CVE漏洞
舉例相關CVE漏洞
描述:The DES and Triple DES ciphers, as used in the TLS, SSH, and IPSec protocols and other protocols and products, have a birthday bound of approximately four billion blocks, which makes it easier for remote attackers to obtain cleartext data via a birthday attack against a long-duration encrypted session, as demonstrated by an HTTPS session using Triple DES in CBC mode, aka a "Sweet32" attack.
⚠️此類攻擊可以透過生日攻擊來對加密會話進行解密,從而獲取明文數據⚠️
漏洞解決方案:
取消DES和Triple DES加密算法相關套件
參考資料:
微軟、蘋果、Google及Mozilla四大瀏覽器業者將在2020年終止支援TLS 1.0、1.1:https://www.ithome.com.tw/news/126434
Page updated
Report abuse