|
漏洞名称 |
|
|
详细描述 |
目标主机支持 RSA 密钥交换意味着缺乏前向保密,存在历史流量解密风险,是过时且不推荐使用的配置,建议更新为 ECDHE 等临时密钥交换算法,以增强会话安全性和隐私保护。 |
|
解决办法 |
解决方案: |
|
威胁分值 |
5.0 |
|
危险插件 |
否 |
|
发现日期 |
2009-01-05 |
|
CVSS评分 |
5.0 |
漏洞cve发一下。
1、 获取防火本地证书:
把防火墙本地的证书导出到PC本地:
防火墙开启xftp server enable,个人PC通过xftp将https-server.p12证书文件拿出。
2、 登录防火墙web页面,进行PKI及证书部分操作:
a、 对象-证书与密钥-PKI-证书,新建PKI域
b、 对象-证书与密钥-PKI-证书,选择新建的h3c,导入https-server.p12证书。
注意:trust-local-cert enable命令用来开启设备信任导入的本地证书功能。设备默认不开启,需进入到pki视图开启trust-local-cert enable,才可正常导入本地证书。
3、 对象-SSL-服务器段策略,新建策略,算法去除RSA等弱算法:


4、 网络-服务-http/https,在https登录模块,选择刚刚创建的h3c服务器端策略:
提示会自动重启https服务,也可命令行手动undo ip https enable,之后再ip https enable手动重启https服务。
(如果undo ip https enable,undo ip http enable后还有端口在监听,配置undo autodeploy url enable)
5、重新登录设备https页面,能够正常登录。再次进行漏洞扫描即可。
暂无评论
RSA_WITH_xxx)无前向保密 PFS:私钥一旦泄露,所有历史加密流量均可被解密;
ECDHE 系列(ECDHE_RSA_WITH_xxx)采用临时椭圆曲线密钥,每次会话独立密钥,满足等保 / 漏扫合规要求。
整改核心:删除所有不带 ECDHE 的纯 RSA 密码套件,仅保留 ECDHE 系列套件。system-view
# 1. 查看当前https加密套件列表
display ip https ssl-server policy
# 2. 编辑SSL策略,清空旧套件,仅保留ECDHE合规套件
ssl server-policy HTTPS-WEB-POLICY
undo ciphersuite all
# 仅添加带ECDHE、支持PFS前向保密的套件
ciphersuite ECDHE-RSA-AES128-GCM-SHA256
ciphersuite ECDHE-RSA-AES256-GCM-SHA384
# 可选补充国密/更高安全套件,不要添加纯RSA(如RSA-AES128-GCM-SHA256)
quit
# 绑定到https服务
ip https ssl-server-policy HTTPS-WEB-POLICY
# 强制最低TLS版本1.2,禁用TLS1.0/1.1
ip https ssl min-version tls1.2
# 重启https服务生效
undo ip https enable
ip https enable
system-view
ssl server-policy SSLVPN-POLICY
undo ciphersuite all
ciphersuite ECDHE-RSA-AES128-GCM-SHA256
ciphersuite ECDHE-RSA-AES256-GCM-SHA384
quit
# SSL VPN引用策略
ssl vpn gateway GW01
ssl server-policy SSLVPN-POLICY
ssl min-version tls1.2
quit
ssl server-policy LB-HTTPS
undo ciphersuite all
ciphersuite ECDHE-RSA-AES128-GCM-SHA256
ciphersuite ECDHE-RSA-AES256-GCM-SHA384
quit
loadbalance virtual-server WEB-VS type https
ssl server-policy LB-HTTPS
ssl min-version tls1.2
# 确认套件仅存在ECDHE
display ssl server-policy name 策略名
# 确认最低TLS版本
display ip https | include min-version
ssl min-version tls1.3,安全性更高;暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论