ฉันสังเกตเห็นคำแนะนำมากมายว่าคุณควรปิดการใช้งานการสนับสนุน SSL v2 ในขณะที่ตั้งค่า SSL บนเว็บเซิร์ฟเวอร์
ฉันไม่เข้าใจเหตุผล มีใครบอกฉันทีได้ไหม
ฉันสังเกตเห็นคำแนะนำมากมายว่าคุณควรปิดการใช้งานการสนับสนุน SSL v2 ในขณะที่ตั้งค่า SSL บนเว็บเซิร์ฟเวอร์
ฉันไม่เข้าใจเหตุผล มีใครบอกฉันทีได้ไหม
คำตอบ:
SSL 2.0 มีข้อบกพร่องในหลากหลายวิธี: 1
- คีย์การเข้ารหัสลับที่เหมือนกันใช้สำหรับการตรวจสอบและเข้ารหัสข้อความ
- SSL 2.0 มีโครงสร้างแบบ MAC ที่อ่อนแอซึ่งใช้ฟังก์ชั่นแฮช MD5 พร้อมรหัสนำหน้าแบบลับทำให้เสี่ยงต่อการถูกโจมตีแบบต่อเนื่องที่มีความยาว
- SSL 2.0 ไม่มีการป้องกันใด ๆ สำหรับการจับมือซึ่งหมายความว่าการโจมตีที่ลดระดับคนกลางคนสามารถตรวจจับได้
- SSL 2.0 ใช้การเชื่อมต่อ TCP เพื่อระบุจุดสิ้นสุดของข้อมูล ซึ่งหมายความว่าการโจมตีแบบ truncation นั้นเป็นไปได้: ผู้โจมตีจะทำการปลอมแปลง TCP FIN โดยปล่อยให้ผู้รับไม่ทราบว่ามีการสิ้นสุดของข้อความข้อมูล (SSL 3.0 แก้ไขปัญหานี้โดยแจ้งเตือนการปิดอย่างชัดเจน)
- SSL 2.0 ถือว่าบริการเดียวและใบรับรองโดเมนแบบคงที่ซึ่งขัดแย้งกับคุณลักษณะมาตรฐานของการโฮสต์เสมือนในเว็บเซิร์ฟเวอร์ ซึ่งหมายความว่าเว็บไซต์ส่วนใหญ่บกพร่องจากการใช้ SSL TLS / SNI แก้ไขสิ่งนี้ แต่ยังไม่ได้ปรับใช้ในเว็บเซิร์ฟเวอร์ในขณะนี้
1: http://en.wikipedia.org/wiki/Transport_Layer_Security#SSL_1.0.2C_2.0_and_3.0