我使用DigiCert颁发的证书部署了SSL VPN。 DigiCert说我有SHA2证书。
但是Chrome报告说,密钥交换机制是“您的连接使用了过时的密码encryption”TLS 1.0。
这是否构成安全风险? 我怎么才能摆脱这个呢?
我的密码套件的选项是:
2911(config)#ip http secure-ciphersuite ? 3des-ede-cbc-sha Encryption type ssl_rsa_with_3des_ede_cbc_sha ciphersuite des-cbc-sha Encryption type ssl_rsa_with_des_cbc_sha ciphersuite rc4-128-md5 Encryption type ssl_rsa_with_rc4_128_md5 ciphersuite rc4-128-sha Encryption type ssl_rsa_with_rc4_128_sha ciphe TLS 1.0有一些已知的安全漏洞,你应该使用TLS 1.1,如果可以的话,最好使用TLS 1.2。
您的“密钥交换机制”是指您使用TLS / SSL的协议。 http://en.wikipedia.org/wiki/Transport_Layer_Security#TLS_1.0
TLS 1.0的安全性问题主要被称为Heartbleed。 http://en.wikipedia.org/wiki/Heartbleed
我为您提供了一些资料,以便您可以在课题上进行教育。 按照CJS发布的指示来帮助解决您的具体困境。
假设您的Digicert与SHA2签发,这是VPN服务器(在您的情况下,路由器)的问题。
你需要:
(1)将您的密码套件更改为3DES或更高版本。
(2)使用“crypto key generate ec”重新生成rsa密钥
(3)用上一步创build的rsa密钥重新生成具有新信任点的CSR
(4)将CSR提交给CA并获得新的CSR
(5)加载新的证书