SSLSCAN non viene eseguito correttamente dopo aver rimosso TLS1.0


0

ANCORA UN NEWBIE SU UBUNTU, per favore scusa se è sciocco . Ho pubblicato questa domanda su Askubuntu ma qualcuno mi ha suggerito di pubblicarla qui su superuser.com

Mi è stato chiesto di smettere di supportare le cifre TLS1.0. Googled e ho scoperto che l'aggiunta della riga sotto a ssl.conf può rimuovere TLS1.0 da httpd:

SSLProtocol all -TLSv1

C'è un "sslscan" su kali linux che sto usando per scansionare l'ip con la porta 443 per elencare le cifre supportate da quell'ip.

Ora, prima di rimuovere il codice TLS1.0 SSLSCAN ha funzionato correttamente e ha dato i risultati corretti come di seguito:

TLS renegotiation:
Session renegotiation not supported

  TLS Compression:
Compression disabled

  Heartbleed:
TLS 1.0 not vulnerable to heartbleed
TLS 1.1 not vulnerable to heartbleed
TLS 1.2 not vulnerable to heartbleed

  Supported Server Cipher(s):
Accepted  TLSv1.0  256 bits  ECDHE-RSA-AES256-SHA          Curve P-256 DHE 256
Accepted  TLSv1.0  256 bits  DHE-RSA-AES256-SHA            DHE 1024 bits
Accepted  TLSv1.0  256 bits  AES256-SHA
Accepted  TLSv1.0  128 bits  ECDHE-RSA-AES128-SHA          Curve P-256 DHE 256
Accepted  TLSv1.0  128 bits  DHE-RSA-AES128-SHA            DHE 1024 bits
Accepted  TLSv1.0  128 bits  AES128-SHA
Accepted  TLSv1.0  112 bits  ECDHE-RSA-DES-CBC3-SHA        Curve P-256 DHE 256
Accepted  TLSv1.0  112 bits  EDH-RSA-DES-CBC3-SHA          DHE 1024 bits
Accepted  TLSv1.0  112 bits  DES-CBC3-SHA
Accepted  TLSv1.1  256 bits  ECDHE-RSA-AES256-SHA          Curve P-256 DHE 256
Accepted  TLSv1.1  256 bits  DHE-RSA-AES256-SHA            DHE 1024 bits
Accepted  TLSv1.1  256 bits  AES256-SHA
Accepted  TLSv1.1  128 bits  ECDHE-RSA-AES128-SHA          Curve P-256 DHE 256
Accepted  TLSv1.1  128 bits  DHE-RSA-AES128-SHA            DHE 1024 bits
Accepted  TLSv1.1  128 bits  AES128-SHA
Accepted  TLSv1.1  112 bits  ECDHE-RSA-DES-CBC3-SHA        Curve P-256 DHE 256
Accepted  TLSv1.1  112 bits  EDH-RSA-DES-CBC3-SHA          DHE 1024 bits
Accepted  TLSv1.1  112 bits  DES-CBC3-SHA
Accepted  TLSv1.2  256 bits  ECDHE-RSA-AES256-SHA          Curve P-256 DHE 256
Accepted  TLSv1.2  256 bits  DHE-RSA-AES256-SHA            DHE 1024 bits
Accepted  TLSv1.2  256 bits  AES256-SHA
Accepted  TLSv1.2  128 bits  ECDHE-RSA-AES128-SHA          Curve P-256 DHE 256
Accepted  TLSv1.2  128 bits  DHE-RSA-AES128-SHA            DHE 1024 bits
Accepted  TLSv1.2  128 bits  AES128-SHA
Accepted  TLSv1.2  112 bits  ECDHE-RSA-DES-CBC3-SHA        Curve P-256 DHE 256
Accepted  TLSv1.2  112 bits  EDH-RSA-DES-CBC3-SHA          DHE 1024 bits
Accepted  TLSv1.2  112 bits  DES-CBC3-SHA

  Preferred Server Cipher(s):
TLSv1.0  256 bits  ECDHE-RSA-AES256-SHA          Curve P-256 DHE 256
TLSv1.1  256 bits  ECDHE-RSA-AES256-SHA          Curve P-256 DHE 256
TLSv1.2  256 bits  ECDHE-RSA-AES256-SHA          Curve P-256 DHE 256

  SSL Certificate:
"SSL Certificate details , I think is confidential to my organization so not sharing it"

Dopo aver RIMOSSO CIPHER TLS1.0 i risultati SSLSCAN sono i seguenti:

TLS renegotiation:
Session renegotiation not supported

  TLS Compression:
Compression disabled

  Heartbleed:
TLS 1.0 not vulnerable to heartbleed
TLS 1.1 not vulnerable to heartbleed
TLS 1.2 not vulnerable to heartbleed

  Supported Server Cipher(s):
Accepted  TLSv1.1  256 bits  ECDHE-RSA-AES256-SHA          Curve P-256 DHE 256
Accepted  TLSv1.1  256 bits  DHE-RSA-AES256-SHA            DHE 2048 bits
Accepted  TLSv1.1  256 bits  AES256-SHA
Accepted  TLSv1.1  128 bits  ECDHE-RSA-AES128-SHA          Curve P-256 DHE 256
Accepted  TLSv1.1  128 bits  DHE-RSA-AES128-SHA            DHE 2048 bits
Accepted  TLSv1.1  128 bits  AES128-SHA
Accepted  TLSv1.1  112 bits  ECDHE-RSA-DES-CBC3-SHA        Curve P-256 DHE 256
Accepted  TLSv1.1  112 bits  EDH-RSA-DES-CBC3-SHA          DHE 2048 bits
Accepted  TLSv1.1  112 bits  DES-CBC3-SHA
Accepted  TLSv1.2  256 bits  ECDHE-RSA-AES256-SHA          Curve P-256 DHE 256
Accepted  TLSv1.2  256 bits  DHE-RSA-AES256-SHA            DHE 2048 bits
Accepted  TLSv1.2  256 bits  AES256-SHA
Accepted  TLSv1.2  128 bits  ECDHE-RSA-AES128-SHA          Curve P-256 DHE 256
Accepted  TLSv1.2  128 bits  DHE-RSA-AES128-SHA            DHE 2048 bits
Accepted  TLSv1.2  128 bits  AES128-SHA
Accepted  TLSv1.2  112 bits  ECDHE-RSA-DES-CBC3-SHA        Curve P-256 DHE 256
Accepted  TLSv1.2  112 bits  EDH-RSA-DES-CBC3-SHA          DHE 2048 bits
Accepted  TLSv1.2  112 bits  DES-CBC3-SHA

  Preferred Server Cipher(s):
TLSv1.1  256 bits  ECDHE-RSA-AES256-SHA          Curve P-256 DHE 256
TLSv1.2  256 bits  ECDHE-RSA-AES256-SHA          Curve P-256 DHE 256

Failed to connect to get certificate.

Perché dopo aver rimosso le cifre TLS1.0, sslscan non è in grado di connettersi per ottenere certificati? Sto rimuovendo TLS1.0 in modo errato? In caso affermativo, qual è il modo corretto di disabilitare / rimuovere le cifre TLS1.0? O è normale? Sslscan utilizza solo TLS1.0 per scansionare l'ip con la porta 443 che avevo disabilitato, cioè y non riesce a ottenere il certificato?

Nel caso in cui qualcuno volesse dare un'occhiata a questa domanda su Askubuntu, ecco il link: https://askubuntu.com/questions/819568/sslscan-not-getting-executed-properly-after-removing-tls1-0


Non confondere protocolli e cifre . Ad esempio, i protocolli TLS 1.0 e TLS 1.1 utilizzano principalmente le stesse cifre. Il tuo SSLProtocolè l'approccio corretto, ma penso che potresti aver bisogno -TLSv1.0invece? Solo una supposizione.
Grawity

Quindi mi dici di dire che ... con il metodo sopra sto limitando le cifre TLS1.0 e le cifre TLS1.1? Perché entrambi usano quasi lo stesso set di cifre e sto limitando il protocollo stesso? E per limitare solo le cifre TLS1.0 ho bisogno di usare un po 'come "Protocollo SSL tutto -TLSv1.0" in quanto ho solo bisogno di limitare le cifre TLS1.0 o non è affatto possibile limitare solo le cifre TLS1.0 e consentire TLS1 .1? Per favore, scusa se è una cosa ovvia o l'ho frainteso.
Yash Khare

Non vuoi limitare le cifre. Vuoi limitare i protocolli .
Grawity

@grawity: Okay, per limitare il protocollo TLS1.0 "-TLSv1" dovrebbe essere usato credo. Seguito link qui sotto: httpd.apache.org/docs/current/mod/mod_ssl.html . Ma dopo averlo limitato SSLSCAN non riesce a connettersi per ottenere il certificato, è normale?
Yash Khare,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.