啟用 RC4 加密

相關警告

"此伺服器使用不安全的 RC4 密碼演算法。停用 RC4 加密套件並更新網頁伺服器或設備,以支援進階加密標準 (AES) 加密演算法。”

問題

RC4 是 Ron Rivest 在 1987 年設計的串流加密。BEAST 攻擊在 2011 年被發現。緩和攻擊的解決方法是在伺服器上和瀏覽器中啟用 TLS 1.1 和 TLS 1.2。然而,如果您可以啟用 TLS 1.1 和 TLS 1.2,這裏提供一個因應措施:設定 SSL 排列在區塊式加密上的 RC4 加密優先順序。此因應措施無法完全免除暴露在 BEAST 攻擊下,但可以“限制”暴露在 BEAST 攻擊下。

由於 RC4 容易實行且因為 BEAST 攻擊因應措迡,RC4 串流加密的使用廣為流傳。

一組研究人員 (Nadhem AlFardan、Dan Bernstein、Kenny Paterson、Bertram Poettering 和 Jacob Schuldt) 發現對 TLS 的新攻擊,攻擊者在其中使用瀏覽器進行數次連線,同時監看和記錄前述連線的流量。

解決方法

  • 在支援這些通訊協定的伺服器上啟用 TLS 1.2 或 TLS 1.3 並切換到 AEAD 加密套件 (AES-GCM)。
  • 在支援這些通訊協定的瀏覽器中啟用 TLS 1.2 或 TLS 1.1。

因應措施

在您伺服器的 SSL 組態中,停用所有基於 RC4 的加密套件。如果您無法在伺服器上和網頁瀏覽器中啟用 TLS 1.2 或 TLS 1.3,僅限使用此因應措施。