啟用 RC4 密碼

相關警告

"此伺服器使用不安全的 RC4 密碼運算法則。停用 RC4 密碼套件並更新網頁伺服器或設備,以支援進階加密標準 (AES) 密碼運算法則。”

問題

RC4 是 Ron Rivest 在 1987 年設計的串流密碼。BEAST 攻擊在 2011 年被發現。緩和攻擊的解決方案是在伺服器上和瀏覽器中啟用 TLS 1.1 和 TLS 1.2。然而,如果您可以啟用 TLS 1.1 和 TLS 1.2,這裏提供一個因應措施:設定 SSL 排列在區塊式密碼上的 RC4 密碼優先順序。此因應措施無法完全免除暴露在 BEAST 攻擊下,但可以“限制”暴露在 BEAST 攻擊下。

由於 RC4 容易實行且因為 BEAST 攻擊因應措迡,RC4 串流密碼的使用廣為流傳。

一組研究人員 (Nadhem AlFardan、Dan Bernstein、Kenny Paterson、Bertram Poettering 和 Jacob Schuldt) 發現對 TLS 的新攻擊,攻擊者在其中使用瀏覽器進行數次連線,同時監看和記錄前述連線的流量。

解決方案

  • 在支援這些通訊協議的伺服器上啟用 TLS 1.2 或 TLS 1.3 並切換到 AEAD 密碼套件 (AES-GCM)。
  • 在支援這些通訊協議的瀏覽器中啟用 TLS 1.2 或 TLS 1.1。

因應措施

在您伺服器的 SSL 組態中,停用所有基於 RC4 的密碼套件。如果您無法在伺服器上和網頁瀏覽器中啟用 TLS 1.2 或 TLS 1.3,僅限使用此因應措施。