Контекст, используемый в обработке связей SSL/TLS, сопоставлен со слабым протоколом
Незащищенный протокол SSL/TLS происходит, когда вы не отключаете незащищенные протоколы в SSL_CTX
или SSL
объект контекста перед использованием объекта для обработки связей SSL/TLS.
Например, вы отключаете протоколы SSL2.0 и TLS1.0, но забываете отключать протокол SSL3.0, который также рассматривается слабым.
/* Create and configure context */ ctx = SSL_CTX_new(SSLv23_method()); SSL_CTX_set_options(ctx, SSL_OP_NO_SSLv2|SSL_OP_NO_TLSv1); /* Use context to handle connection */ ssl = SSL_new(ctx); SSL_set_fd(ssl, NULL); ret = SSL_connect(ssl);
Протоколы SSL2.0, SSL3.0 и TLS1.0 рассматриваются слабыми в криптографическом сообществе. Используя один из этих протоколов может отсоединить ваши связи с нападениями перекрестного протокола. Атакующий может дешифровать шифрованный текст RSA, не зная закрытый ключ RSA.
Отключите незащищенные протоколы в объекте контекста перед использованием объекта обработать связи.
/* Create and configure context */ ctx = SSL_CTX_new(SSLv23_method()); SSL_CTX_set_options(ctx, SSL_OP_NO_SSLv2|SSL_OP_NO_SSLv3|SSL_OP_NO_TLSv1);
Группа: криптография |
Язык: C | C++ |
Значение по умолчанию: 'off' |
Синтаксис командной строки:
CRYPTO_SSL_WEAK_PROTOCOL |
Удар: носитель |
ID CWE: 310, 327, 522, 693 |