使用弱式雜湊演算法簽署的 SSL 憑證 (已知 CA)
info Nessus Plugin ID 95631
語系:
Synopsis
憑證鏈中的已知 CA SSL 憑證使用了弱式雜湊演算法進行簽署。描述
遠端服務在已利用經密碼編譯的弱式雜湊演算法 (如 MD2、MD4、MD5 或 SHA1) 簽署的 SSL 憑證鏈中使用已知的 CA 憑證。已知這些簽章演算法容易受到衝突攻擊影響 (例如 CVE-2004-2761)。攻擊者可加以惡意利用,產生具有相同數位簽章的其他憑證,藉此偽裝成受影響的服務。請注意,此外掛程式會報告所有透過 SHA-1 簽署且在 2017 年 1 月 1 日之後到期的 SSL 憑證鏈為弱點。做法是依照 Google 的 SHA-1 密碼編譯雜湊演算法逐步淘汰。
請注意,此外掛程式只會對 Tenable Community 知識文章 000001752 中所列的已知憑證授權單位觸發 root 憑證。這是此外掛程式與 35291 外掛程式的區別所在,後者可觸發任意憑證,而不僅僅是已知憑證授權單位 root 憑證。
已知憑證授權單位 root 憑證本質上是受信任的,因此系統不會將任何潛在的簽章問題 (包括使用弱式雜湊演算法簽署) 視為安全性問題。
解決方案
請聯絡憑證授權單位,請求重新發出憑證。另請參閱
https://tools.ietf.org/html/rfc3279
Plugin 詳細資訊
嚴重性: Info
ID: 95631
檔案名稱: ssl_weak_hash_ca.nasl
版本: 1.15
類型: remote
系列: General
已發布: 2016/12/8
已更新: 2022/10/12
風險資訊
弱點資訊
CPE: cpe:2.3:a:ietf:md5:*:*:*:*:*:*:*:*, cpe:2.3:a:ietf:x.509_certificate:*:*:*:*:*:*:*:*
必要的 KB 項目: SSL/Chain/KnownCA/WeakHash
可被惡意程式利用: true
可輕鬆利用: Exploits are available
弱點發布日期: 2004/8/18
參考資訊
CWE: 310