cs:services:eventclass:vulnerable-config-tls-old
Action unknown: indexoauthloginauthoauthloginauth

Používání zastaralého SSL/TLS

Protokoly SSL a TLS jsou používány pro zašifrování spojení mezi serverem a klientem u mnoha protokolů, např. FTP, IMAP, HTTP, SMTP a mnoho dalších. Následující verze jsou zastaralé a není doporučeno je používat:

  • Použití SSL 2.0 bylo zakázáno v RFC 6176 v březnu 2011.
  • Použití SSL 3.0 bylo zavrženo v RFC 7568 v červnu 2015.
  • Použití TLS 1.0 a 1.1 bylo zavrženo v RFC 8996 v březnu 2021.

V současné době je bezpečné používat TLS verze 1.3. S vypnutou podporou šifrovacich algoritmů 3DES, GOST a RC4 je možné bezpečně provozovat i starší TLS 1.2.

Vypnutí v Apache:

SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1

Vypnutí v Nginx (nginx.conf):

ssl_protocols TLSv1.2 TLSv1.3;

Vypnutí v Postfix:

smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtp_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1

Vypnutí ve vsftpd je automatické od verze 3.0.4.

Otestování

Otestování lze provést pomocí testssl.sh. Pro SSL/TLS:

testssl.sh -p [URL]:[port]

Pro test STARTTLS je nutné specifikovat službu, která na portu běží:

testssl.sh -p -t [ftp/smtp/lmtp/pop3/imap/sieve/xmpp/xmpp-server/telnet/ldap/nntp/postgres/mysql] [URL]:[port]

Poslední úprava:: 29.05.2024 10:08