Windows-Server-2008-R2

我應該使用 TLS 1.1/TLS 1.2 而不是 SSL v3 嗎?

  • March 21, 2017

我的 windows Server 2008R2 現在有 SSL v2 協議。由於安全漏洞,我計劃禁用 SSL v2。

那麼我應該啟用 SSL v3 還是應該直接跳轉到TLS 1.1\ TLS 1.2 ?

如果我禁用 SSL v2 並且不啟用任何更高版本,會有任何安全問題嗎?

是的,您應該禁用 SSLv3以支持 TLSv1.1+。SSLv3 和 TLS1.0 被認為容易受到Padding Oracle On Downgraded Legacy Encryption”中間人攻擊,這可能導致您的秘密數據(例如密碼)洩露給攻擊者……

除非您有特定的理由不這樣做(即您需要支持舊客戶端),否則最好啟用可能的最高版本 TLS(即 TLSv1.2),並禁用其他所有內容(當然要確保禁用SSLv2 和 SSLv3)。

您可能還想調整(如果可以的話)您使用的特定密碼。我找不到任何特定於 Windows 的東西,但 Mozilla 的伺服器端 TLS可能有一些用處。

他們特別推薦使用以下密碼:

ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-SH-25 AES128-GCM-SHA256:ECDHE-ECDSA -AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256

他們還建議使用 TLSv1.2,並確保使用至少 2048 位的 RSA 密鑰。

引用自:https://serverfault.com/questions/839553