使用弱式雜湊演算法簽署的 SSL 憑證 (已知 CA)

info Nessus Plugin ID 95631

Synopsis

憑證鏈中的已知 CA SSL 憑證使用了弱式雜湊演算法進行簽署。

描述

遠端服務在已利用經密碼編譯的弱式雜湊演算法 (如 MD2、MD4、MD5 或 SHA1) 簽署的 SSL 憑證鏈中使用已知的 CA 憑證。已知這些簽章演算法容易受到衝突攻擊影響 (例如 CVE-2004-2761)。攻擊者可加以惡意利用,產生具有相同數位簽章的其他憑證,藉此偽裝成受影響的服務。

請注意,此外掛程式會報告所有透過 SHA-1 簽署且在 2017 年 1 月 1 日之後到期的 SSL 憑證鏈為弱點。做法是依照 Google 的 SHA-1 密碼編譯雜湊演算法逐步淘汰。

請注意,此外掛程式只會對 Tenable Community 知識文章 000001752 中所列的已知憑證授權單位觸發 root 憑證。這是此外掛程式與 35291 外掛程式的區別所在,後者可觸發任意憑證,而不僅僅是已知憑證授權單位 root 憑證。

已知憑證授權單位 root 憑證本質上是受信任的,因此系統不會將任何潛在的簽章問題 (包括使用弱式雜湊演算法簽署) 視為安全性問題。

解決方案

請聯絡憑證授權單位,請求重新發出憑證。

另請參閱

https://tools.ietf.org/html/rfc3279

http://www.nessus.org/u?9bb87bf2

http://www.nessus.org/u?ae636e78

Plugin 詳細資訊

嚴重性: Info

ID: 95631

檔案名稱: ssl_weak_hash_ca.nasl

版本: 1.15

類型: remote

系列: General

已發布: 2016/12/8

已更新: 2022/10/12

風險資訊

弱點資訊

CPE: cpe:2.3:a:ietf:md5:*:*:*:*:*:*:*:*, cpe:2.3:a:ietf:x.509_certificate:*:*:*:*:*:*:*:*

必要的 KB 項目: SSL/Chain/KnownCA/WeakHash

可被惡意程式利用: true

可輕鬆利用: Exploits are available

弱點發布日期: 2004/8/18

參考資訊

BID: 33065, 11849

CWE: 310