使用弱式雜湊演算法簽署的 SSL 憑證 (已知 CA)
info Nessus Plugin ID 95631
語言:
概要
憑證鏈中的已知 CA SSL 憑證使用了弱式雜湊演算法進行簽署。說明
遠端服務在已利用經密碼編譯的弱式雜湊演算法 (如 MD2、MD4、MD5 或 SHA1) 簽署的 SSL 憑證鏈中使用已知的 CA 憑證。已知這些簽章演算法容易受到衝突攻擊影響 (例如 CVE-2004-2761)。攻擊者可加以惡意利用,產生具有相同數位簽章的其他憑證,藉此偽裝成受影響的服務。請注意,此外掛程式會報告所有透過 SHA-1 簽署且在 2017 年 1 月 1 日之後到期的 SSL 憑證鏈為弱點。做法是依照 Google 的 SHA-1 密碼編譯雜湊演算法逐步淘汰。
請注意,此外掛程式只會對 Tenable Community 知識文章 000001752 中所列的已知憑證授權單位觸發 root 憑證。這是此外掛程式與 35291 外掛程式的區別所在,後者可觸發任意憑證,而不僅僅是已知憑證授權單位 root 憑證。
已知憑證授權單位 root 憑證本質上是受信任的,因此系統不會將任何潛在的簽章問題 (包括使用弱式雜湊演算法簽署) 視為安全性問題。
解決方案
請聯絡憑證授權單位,請求重新發出憑證。另請參閱
http://www.nessus.org/u?ae636e78