Làm cách nào để tắt TLS 1.0 trên máy chủ linux?


0

Tôi đã chạy quét PCI ASV bởi Comodo báo cáo rằng máy chủ của chúng tôi đang hỗ trợ TLS 1.0. mà nó không nên Xem ảnh chụp màn hình:

Comodo TLS 1.0 vulnerabilities

Máy chủ được lấy từ tài khoản GoGeek tại siteground. Theo hỗ trợ của họ, TLS 1.0 bị tắt theo mặc định trên tất cả các máy chủ và thử nghiệm có lẽ chỉ là một lỗi ở cuối comodos. Trước khi lãng phí tiền cho một lần quét khác, tôi đã kiểm tra cổng 443 từ một máy chủ khác bằng chương trình nmap:

root@server:/# nmap --script ssl-enum-ciphers -p 443 www.xxxxxxxxxx.com

Starting Nmap 6.47 ( http://nmap.org ) at 2018-05-23 17:21 CEST
Nmap scan report for www.xxxxxxxxxx.com (xxx.xx.xxx.xxx)
Host is up (0.0021s latency).
Other addresses for www.xxxxxxxxxx.com (not scanned): xxx.xx.xxx.xxx
PORT    STATE SERVICE
443/tcp open  https
| ssl-enum-ciphers:
|   TLSv1.0:
|     ciphers:
|       TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA - strong
|       TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA - strong
|     compressors:
|       NULL
|   TLSv1.1:
|     ciphers:
|       TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA - strong
|       TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA - strong
|     compressors:
|       NULL
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA - strong
|       TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 - strong
|       TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 - strong
|       TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA - strong
|       TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 - strong
|       TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 - strong
|       TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 - strong
|     compressors:
|       NULL
|_  least strength: strong

Nmap done: 1 IP address (1 host up) scanned in 1.63 seconds 

Những câu hỏi của tôi:

  1. Tôi có đọc chính xác từ báo cáo nmap rằng TLS 1.0 thực sự được hỗ trợ không?
  2. Ở đâu / Làm thế nào để tôi vô hiệu hóa TLS 1.0? Tôi không thể / không đủ chuyên nghiệp để tìm nơi tìm kiếm các loại cấu hình này trên máy chủ này, nơi thậm chí không thể tìm ra HĐH.
  3. Lỗi "Sao lưu có thể truy cập Web" trong báo cáo comodo ở trên có nghĩa là gì?

uname -a cho:

Linux ukm16.siteground.biz 3.12.18-clouder0 #20 SMP Mon Feb 26 12:15:53 EET 2018 x86_64 x86_64 x86_64 GNU/Linux

Bất kì sự trợ giúp nào đều được đánh giá cao!


Báo cáo quét Nmap của bạn chỉ rõ các kết nối TLS 1.0, 1.1 và 1.2 tất cả sẽ được máy chủ chấp nhận. Đối với cách bạn định cấu hình máy chủ KHÔNG kết nối với TLS 1.0, bạn sẽ phải bắt đầu bằng cách tạo chứng chỉ SSL mới.
Ramhound

Được. Tôi sẽ xem xét điều này ngay bây giờ. Tôi cho rằng nếu không có chứng chỉ hiện tại, không có bảo mật TLS nào được áp dụng cả? Bạn có thể cho tôi biết những gì bạn nghĩ rằng lỗ hổng "Sao lưu có thể truy cập Web" có thể có nghĩa là gì không?
Yolo

Tính thô tục đặc biệt đó cho thấy nó có thể truy cập vào các bản sao lưu của bạn qua kết nối HTTP không an toàn. Nếu không có chứng chỉ, thì máy chủ của bạn hỗ trợ KHÔNG mã hóa, đây là trường hợp không thể xảy ra. Nếu bạn không biết đó là trường hợp nào, hãy liên hệ với bộ phận hỗ trợ của GoGeek hoặc cung cấp đủ thông tin để chúng tôi giúp bạn trong một câu hỏi khác.
Ramhound
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.