Overview
SSLv2、SSLv23、SSLv3、TLSv1.0 和 TLSv1.1 协议包含使它们变得不安全的缺陷,不应该使用它们来传输敏感数据。
Details
传输层安全 (TLS) 协议和安全套接字层 (SSL) 协议提供了一种保护机制,可以确保在客户端和 Web 服务器之间所传输数据的真实性、保密性和完整性。TLS 和 SSL 都进行了多次修订,因此需要定期进行版本更新。每次新的修订都旨在解决以往版本中发现的安全漏洞。使用不安全版本的 TLS/SSL 会削弱数据保护力度,并可能允许攻击者危害、窃取或修改敏感信息。 弱版本的 TLS/SSL 可能会呈现出以下一个或多个属性:
-
没有针对中间人攻击的保护
-
身份验证和加密使用相同密钥 - 消息身份验证控制较弱
-
没有针对 TCP 连接关闭的保护
-
使用弱密码套件 这些属性的存在可能会允许攻击者截取、修改或篡改敏感数据。
Recommendations
Fortify 强烈建议强制客户端仅使用最安全的协议。
示例 1: ... stream_socket_enable_crypto($fp, true, STREAM_CRYPTO_METHOD_TLSv1_2_SERVER); ...
Example 1 演示了如何强制实施基于 TLSv1.2 协议的通信。