我的Windows Server 2008R2现在有SSL v2协议。 由于安全漏洞,我已经注意到禁用SSL v2。
那么我应该启用SSL v3还是应该直接跳转到TLS 1.1 \ TLS 1.2?
如果我禁用SSL v2并且不启用任何更高版本,是否会有任何安全问题?
是的,你应该禁用SSLv3,以支持TLSv1.1 +。 SSLv3和TLS1.0被认为容易受到 “填充Oracle降级的传统encryption”中间人攻击,这可能会导致向攻击者泄露您的秘密数据(如密码)。
除非你有特殊的理由不这样做(即你需要支持传统的客户端),否则最好启用最高版本的TLS(即TLSv1.2),并禁用所有其他function(当然,确保你禁用SSLv2和SSLv3)。
您可能还想调整(如果可以的话)您使用的特定密码。 我找不到任何特定的Windows,但Mozilla的服务器端TLS可能有一定的用处。
他们特别推荐使用以下密码:
ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA- AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
他们还build议使用TLSv1.2,并确保使用至less2048位的RSA密钥。
SSLv3易受POODLE等重要漏洞的影响。
你应该真的去TLS v1.1 +