Я в своем конце остроумия с этим! Я не человек CI/сетей для начала, и таким образом, я приношу извинения, если я задаю неправильный вопрос неправильная информация.
Я работаю над попыткой заставить клиентский сайт передавать свое сканирование безопасности Trustwave так, чтобы она могла продолжить принимать кредитные карты. Вот временная шкала событий до сих пор:
Я действительно хочу протестировать это сам, однако как я сказал, это не мое реальное задание - я - разработчик, и в то время как я хочу узнать много о CI, у меня нет времени сегодня! Что я сделал, до сих пор используется мой openssl экземпляр для попытки запроса, поскольку я думаю, что Trustwave представляет его, чтобы видеть, могу ли я воссоздать их доказательство:
openssl s_client -connect thenewtonproject.com:443 -cipher "TLSv1:ALL:eNULL:aNULL"
Когда я выполняю это, я вижу, что это говорит TLSv1/SSLv3. Cipher is RC4-SHA
, который привел бы меня полагать, что сканирование Trustwave является неправильным, но так как это - первый раз, когда я когда-либо делал что-либо как это с openssl, я даже не уверен, что использовал правильную команду/синтаксис. Кто-то может или помочь исправить мой синтаксис/проверять мой результат против того же сайта?
Править
Согласно Trustwave, описание проблемы ЗВЕРЯ:
Протокол SSL шифрует данные при помощи режима CBC с цепочечными векторами инициализации. Это позволяет взломщику, который является, получил доступ к сессии HTTPS через нападения man-in-the-middle (MITM) или другие средства, для получения HTTP-заголовков простого текста через выбранный blockwise - граничное нападение (BCBA) в сочетании с кодом JavaScript, который использует HTML5 WebSocket API, Java URLConnection API или Silverlight WebClient API. Эта уязвимость чаще всего упоминается как Использование Браузера Против SSL/TLS или "ЗВЕРЯ".
Согласно Trustwave, шаги для исправления:
Нужные пользователи должны отключить все основанные на блоке наборы шифров в конфигурации SSL сервера и только поддерживать шифры RC4, которые не уязвимы, чтобы полностью обратиться к этой уязвимости. Эта уязвимость была обращена в версии 1.1/1.2 TLS, однако, поддержка этих более новых версий TLS широко не поддерживается во время этой записи, мешая отключать более ранние версии. Кроме того, нужные пользователи могут также настроить SSL, чтобы предпочесть, чтобы шифры RC4 по основанным на блоке шифрам ограничили, но не устранили, воздействие. Нужные пользователи, которые реализуют методы установления приоритетов для смягчения, как описано выше, должны обратиться эта уязвимость и включать детали конфигурации SSL.
Я получил информацию в отношении инструмента IISCrypto от просто универсального поиска с помощью Google на этой прошлой неделе.
РЕДАКТИРОВАНИЕ 2: На запрос вот то, на что шифры похож в реестре:
[\AES 128/128]
"Enabled"=false
[\AES 256/256]
"Enabled"=false
[\DES 56/56]
"Enabled"=false
[\NULL]
"Enabled"=false
[\RC2 128/128]
"Enabled"=false
[\RC2 40/128]
"Enabled"=false
[\RC2 56/128]
"Enabled"=false
[\RC4 128/128]
"Enabled"=true
[\RC4 40/128]
"Enabled"=false
[\RC4 56/128]
"Enabled"=false
[\RC4 64/128]
"Enabled"=false
[\Triple DES 168/168]
"Enabled"=true
Здесь был первоначально ответ:
я применил это, и оно работает:
на него ответил https://security.stackexchange.com/users/12375/josh https://security.stackexchange.com/questions/14326/how-to-fix-ssl-2-0-and-beast-on-iis
Дайте мне знать, работает ли оно
.