Назад | Перейти на главную страницу

Понимание сценария nmap ssl-enum-ciphers

Я тестирую конфигурацию Tomcat SSL на моем сервере, и я использовал сценарий ssl-enum-ciphers из nmap и появляется следующее предупреждение:

Ключевые параметры обмена с более низкой стойкостью, чем ключ сертификата

Что это значит? Я не могу найти значимой информации по этому диагнозу.

Шифры Tomcat server.xml:

ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,
            TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
            TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA256,
            TLS_DHE_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_RSA_WITH_AES_256_CBC_SHA256,TLS_DHE_RSA_WITH_AES_256_CBC_SHA,
            TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_128_CBC_SHA256,
            TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA"

Это означает, что сервер настроен с сертификатом, имеющим определенную стойкость ключа (возможно, 2048-битный RSA), но конкретный используемый набор шифров настроен на использование другого материала для обмена ключами с более низкой стойкостью. Скорее всего, это параметр Диффи-Хеллмана (DH) с разрядностью 1028 бит.

Чтобы исправить это, вы можете либо удалить из своей конфигурации наборы шифрования для обмена ключами, связанные с DH, либо сгенерировать и настроить более надежные параметры DH. Доступны более прямые инструкции на weakdh.org