使用弱哈希算法签名的 SSL 证书(已知 CA)
info Nessus 插件 ID 95631
语言:
简介
证书链中的已知 CA SSL 证书使用弱哈希算法进行签名。描述
远程服务在 SSL 证书链中使用已知 CA 证书,其利用加密的弱哈希算法(例如 MD2、MD4、MD5 或 SHA1)签名。已知这些签名算法容易遭受碰撞攻击(例如 CVE-2004-2761)。攻击者可利用此问题生成具有相同数字签名的其他证书,从而伪装成受影响的服务。请注意,该插件将把 2017 年 1 月 1 日之后过期的所有 SHA-1 签名 SSL 证书链报告为漏洞。这符合 Google 逐渐汰换 SHA-1 加密哈希算法的做法。
请注意,此插件仅会触发 Tenable Community 知识文章 000001752 中列出的已知证书颁发机构的根证书。这就是此插件与插件 35291 的不同之处,后者将触发任意证书,而不仅仅是已知证书颁发机构的根证书。
已知证书颁发机构的根证书本质上是受信任的,因此任何潜在的签名问题(包括使用弱哈希算法进行签名)都不会被视为安全问题。
解决方案
请联系证书颁发机构以重新颁发证书。另见
http://www.nessus.org/u?ae636e78