"此伺服器使用不安全的 RC4 密碼運算法則。停用 RC4 密碼套件並更新網頁伺服器或設備,以支援進階加密標準 (AES) 密碼運算法則。”
RC4 是 Ron Rivest 在 1987 年設計的串流密碼。BEAST 攻擊在 2011 年被發現。緩和攻擊的解決方案是在伺服器上和瀏覽器中啟用 TLS 1.1 和 TLS 1.2。然而,如果您可以啟用 TLS 1.1 和 TLS 1.2,這裏提供一個因應措施:設定 SSL 排列在區塊式密碼上的 RC4 密碼優先順序。此因應措施無法完全免除暴露在 BEAST 攻擊下,但可以“限制”暴露在 BEAST 攻擊下。
由於 RC4 容易實行且因為 BEAST 攻擊因應措迡,RC4 串流密碼的使用廣為流傳。
一組研究人員 (Nadhem AlFardan、Dan Bernstein、Kenny Paterson、Bertram Poettering 和 Jacob Schuldt) 發現對 TLS 的新攻擊,攻擊者在其中使用瀏覽器進行數次連線,同時監看和記錄前述連線的流量。
在您伺服器的 SSL 組態中,停用所有基於 RC4 的密碼套件。如果您無法在伺服器上和網頁瀏覽器中啟用 TLS 1.2 或 TLS 1.3,僅限使用此因應措施。
DigiCert is the world's leading provider of scalable TLS/SSL, IoT and PKI solutions for identity and encryption. The most innovative companies, including 89% of the Fortune 500 and 97 of the 100 top global banks, choose DigiCert for its expertise in identity and encryption for web servers and Internet of Things devices. DigiCert supports TLS and other digital certificates for PKI deployments at any scale through its certificate lifecycle management solution, CertCentral®. The company is recognized for its enterprise-grade certificate management platform, fast and knowledgeable customer support, and market-leading security solutions. For the latest DigiCert news and updates, visit digicert.com or follow @digicert.
©2020 DigiCert, Inc. All rights reserved. DigiCert, its logo and CertCentral are registered trademarks of DigiCert, Inc. Norton and the Checkmark Logo are trademarks of NortonLifeLock Inc. used under license. Other names may be trademarks of their respective owners.