"此伺服器難以抵禦 Logjam 攻擊。確定您已在您的伺服器上啟用 TLSv1.2 通訊協定。在您的伺服器上停用對任何匯出套件的支援,並且停用所有不安全的加密。"
在 1990 年代,美國政府制訂了匯出加密系統的限制。這些規則針對 SSL 3.0 和 TLS 1.0 強制支援較弱的 DHE_EXPORT 加密套件。最終規則改變,並且去除匯出限制。很遺憾,有些 TLS 伺服器仍在使用雙群組組態。標準 DHE 金鑰交換使用1024 位元,傳統 DHE_EXPORT 使用 512 位元,所有瀏覽器仍支援弱 DHE_EXPORT 加密
研究團隊發表 (請參閱不完美前向保密:Diffie-Hellman 實際上如何失敗) 舊的 DHE 匯出級加密套件仍有人使用。他們也發現,支援這些 DHE_EXPORT 加密套件的伺服器可能允許 man-in-the-middle (中間的人,簡稱 MITM) 欺騙用戶端支援弱 DHE_EXPORT 加密套件,將它們和 512 位元金鑰交換的連線降級。然後 MITM 攻擊者可以運用預先設定的資料和當今的運算威力破解金鑰。一破解工作階段的加密後,MITM 即可從工作階段竊取「受保護的」個人資料。
若要有漏洞必須符合這些條件:
有漏洞的用戶端包括 Internet Explorer、Chrome、Safari 和 Mozilla。
身為研究團隊披露的一份子,他們製作了全面的指南以緩和伺服器和用戶端的這個漏洞。請參閱部署用於 TLS 的 Diffie-Hellman 指南。
DigiCert is the world's leading provider of scalable TLS/SSL, IoT and PKI solutions for identity and encryption. The most innovative companies, including 89% of the Fortune 500 and 97 of the 100 top global banks, choose DigiCert for its expertise in identity and encryption for web servers and Internet of Things devices. DigiCert supports TLS and other digital certificates for PKI deployments at any scale through its certificate lifecycle management solution, CertCentral®. The company is recognized for its enterprise-grade certificate management platform, fast and knowledgeable customer support, and market-leading security solutions. For the latest DigiCert news and updates, visit digicert.com or follow @digicert.
©2020 DigiCert, Inc. All rights reserved. DigiCert, its logo and CertCentral are registered trademarks of DigiCert, Inc. Norton and the Checkmark Logo are trademarks of NortonLifeLock Inc. used under license. Other names may be trademarks of their respective owners.