SSL/TLS 建议加密套件 (PCI DSS)

medium Nessus 插件 ID 159543

简介

远程主机会公布不建议使用的 SSL/TLS 密码。

描述

远程主机上开放多个已公布弃用密码套件的 SSL/TLS 端口。建议仅启用针对以下密码套件的支持:

TLSv1.3:
- 0x13,0x01 TLS13_AES_128_GCM_SHA256
- 0x13,0x02 TLS13_AES_256_GCM_SHA384
- 0x13,0x03 TLS13_CHACHA20_POLY1305_SHA256

TLSv1.2:
- 0xC0,0x2B ECDHE-ECDSA-AES128-GCM-SHA256
- 0xC0,0x2F ECDHE-RSA-AES128-GCM-SHA256
- 0xC0,0x2C ECDHE-ECDSA-AES256-GCM-SHA384
- 0xC0,0x30 ECDHE-RSA-AES256-GCM-SHA384
- 0xCC,0xA9 ECDHE-ECDSA-CHACHA20-POLY1305
- 0xCC,0xA8 ECDHE-RSA-CHACHA20-POLY1305
- 0xCC,0xAA DHE_RSA_WITH_CHACHA20_POLY1305_SHA256

这是建议用于绝大多数服务的配置,因为它高度安全,并且与过去 5 年(或更久之前)发布的几乎所有客户端兼容。

解决方案

仅启用针对建议密码套件的支持。

另见

https://wiki.mozilla.org/Security/Server_Side_TLS

https://ssl-config.mozilla.org/

https://ciphersuite.info/page/faq/

https://ciphersuite.info/cs/TLS_DHE_RSA_WITH_AES_128_GCM_SHA256/

https://ciphersuite.info/cs/TLS_DHE_RSA_WITH_AES_256_GCM_SHA384/

插件详情

严重性: Medium

ID: 159543

文件名: pci_ssl_recommended_ciphers.nasl

版本: 1.6

类型: remote

系列: General

发布时间: 2022/4/6

最近更新时间: 2024/2/21

支持的传感器: Nessus

风险信息

CVSS 分数理由: Score from an in depth analysis done by tenable

CVSS v2

风险因素: Medium

基本分数: 4

矢量: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:N

CVSS 分数来源: manual

CVSS v3

风险因素: Medium

基本分数: 4.8

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N

漏洞信息

必需的 KB 项: Settings/PCI_DSS

排除的 KB 项: Settings/PCI_DSS_local_checks