Web检查中的弱SSL协议TLS v1.0

Question

我在Azure中部署的网站（.NET）上运行HP WebInspect工具。我在弱SSL协议TLS v1.0上得到了一个关键问题。（下面有关错误的更多细节）。删除此问题需要什么修复？

详细说明：

TLS 1.0被认为是不安全的，因为它缺乏对强密码组的支持，并且已知受到几个已知漏洞的困扰。它使用RC4密码，它容易产生偏见攻击或使用密码块链接（CBC）模式密码，这使得POODLE（Padding Oracle On Downgraded Legacy Encryption）攻击的条件成为可能。 NIST特刊800-52修订版1不再将TLS 1.0视为强加密技术。 TLS 1.0也不再符合PCI DSS v3.1要求。 PCI不认为TLS 1.0足以保护持卡人数据，并且从2016年6月开始已弃用其使用。更新：PCI DSS已延长迁移至TLS1.1或更高版本的截止日期至2018年6月30日。

Answer 1

根据您的描述，我使用https://www.ssllabs.com/ssltest/检查Azure Web Apps提供的受支持的协议，如下所示：

另外，我检查了我的azure web应用程序并发现它在TLS 1.2下，但密码已经过时，如下所示：

我认为您正在谈论将TLS设置为更高版本或禁用TLS 1.0。我找到了一个关于How to disable TLS 1.0 on an Azure App Service Web App的官方博客，你可以Configure TLS申请App Service Environments，但它的成本非常高。

此外，我发现了有关Disable TLS1.0的反馈，有人评论说您可以使用自定义域和Application Gateway在Azure Web App上禁用TLS 1.0，您可以按照here的详细信息。此外，您可以使用Azure Cloud Service或VM来控制它而不是Azure Web Apps。

Answer 2

您的问题不是TLS 1.2。相反，它是HMAC-SHA1。您拥有的哈希是使用SHA1（安全哈希算法），通过消息摘要（MD）为您提供160位哈希。如果您查一查，您会发现MD5是一种消息摘要，被认为是破碎的（有缺陷的）。事实证明，SHA1是从MD4派生的（MD4是MD5的早期形式），因此它被破坏了。

该标准现在使用SHA256（密钥哈希消息认证码）。在此期间，请确保对于生产站点，使用大于1024位的密钥长度。有两个常用键，Diffie-Hellman和RSA。因此，寻找一个至少提供2048位DH或RSA密钥的密码。