无法安全地连接到此页面 tls安全设置 tls安全设置 _云知道

什么是TLS&SSL？
安全套接字层（SSL）和传输层安全（TLS）加密通过提供通信安全（传输加密）和为应用程序如网络、邮件、即时消息和某些虚拟私有网络（VPN）提供隐私的方式来确保互联网和网络的安全。
因此，TLS安全配置具有重要作用，相关人员应该把精力投入到学习和识别常见漏洞和安全错误配置中。

TLS/SSL安全测试工具
testssl.sh
testssl.sh是我们测试的首选工具，它包含对TLS&SSL评估要求的所有测试而且会定期更新。
安装
可通过执行库的克隆版本来安装最新版本的testssl.sh 。
git clone https://github.com/drwetter/testssl.sh.git
testssl.sh示例
通过testssl.sh使用的测试选项有很多，而且你应该使用的选项会严重依赖于你的测试要求。以下提供了一些可概览testssl.sh命令行options.run./testssl.sh的示例。
在单主机上测试并以控制台格式输出
./testssl.sh -e -E -f -p -y -Y -S -P -c -H-U TARGET-HOST
./testssl.sh –U TARGET
在单主机上测试并以HTML格式输出
./testssl.sh -e -E -f -p -y -Y -S -P -c -H-U TARGET-HOST | aha > OUTPUT-FILE.htm
在子网上测试所有主机并以HTML格式输出
./testssl.sh -e -E -f -p -y -Y -S -P -c -H-U 192.168.1.0/24 | aha > OUTPUT-FILE.html
同上，不过仅枚举每个服务器支持的密码：
./testssl.sh -E 192.168.1.0/24 | aha >OUTPUT-FILE.html
常用命令
-U，– 易受攻击的测试全部（以下）漏洞（如适用） -H，– 心跳脆弱的测试 -I，– ccs，– ccs注射试验为CCS注入漏洞 -T，BigIP负载均衡器中的Ticketbleed漏洞测试 -R，– 重新谈判漏洞的谈判测试 -C，– 压缩，– CRIME漏洞的检测（TLS压缩问题） -B，– BREACH漏洞的测试（HTTP压缩问题） -O，– 面向POODLE（SSL）漏洞的测试 -Z，–tls-fallback检查TLS_FALLBACK_SCSV缓解 -W，–sweet32测试64位块密码（3DES，RC2和IDEA）：SWEET32漏洞 -A，– BEAST脆弱性的测试 -L，-lucky13测试为LUCKY13 -F，– FREAK漏洞测试 -J，– logjam测试LOGJAM漏洞 -D，– DROWN漏洞测试 -f，–pfs，–fs，–nsa检查（完美）前进保密设置 -4，– rc4，–appelbaum哪些RC4密码正在提供
TLS&SSL漏洞测试
常见的TLS&SSL漏洞如下按CVE日期排序的列表，每个漏洞都提供了相应定义，附带自动化和手动（可能实现的情况下）测试指令。
SWEET32(CVE-2016-2183)
定义
使用64位块大小如3DES的传统分组密码当以CBC（密码分组链接）模式使用时易遭受碰撞攻击。当使用CBC模式时，简单的生日攻击就能识别出64位分组密码碰撞。当碰撞发生时意味着输入和输出是一样的，这样就可能发动BEAST方式的攻击提取加密数据。
作者Karthik Bhargavan和Gaetan Leurent能够在网络浏览器中运行JavaScript（中间人攻击）并发送大量数据引发碰撞，随后使用这个信息恢复会话cookie 。
SWEET32测试
识别服务器是否提供3DES密码，如果服务器支持3DES，那么易受SWEET32影响。
SWEET32的 testssl.sh测试
利用testssl.sh识别弱密码：
./testssl.sh –ciphers TARGET
如果输出结果显示3DES密码如下截图，那么目标服务器易受SWEET32影响：