2020年10月20日 星期二

[研究][ASP.NET][C#]Fortify SCA 報告 Eval()有 Cross-Site Scripting: Persistent解法

[研究][ASP.NET][C#][WebForm]Fortify SCA 報告 Eval()有 Cross-Site Scripting: Persistent解法

2020-10-20
2021-11-22 修訂

Eval() 有時候會被 Fortify SCA 報告有 Cross-Site Scripting: Persistent 問題,有時候又不會,敝人尚未弄清原因。



<asp:Label ID="Label2" runat="server" Text='<%# Eval("CaseTypeName") %>' />

只要參考這篇用 HtmlEncode 或 HtmlSanitizer 就可解決。

[研究]一些HtmlEncode、HtmlSanitizer與Fortify SCA的XSS (Cross-Site Scripting)檢測https://shaurong.blogspot.com/2021/11/htmlencodehtmlsanitizerfortify-scaxss.html

Default.aspx


<%@ Page Language="C#" AutoEventWireup="true" CodeBehind="Default.aspx.cs" Inherits="WebApplication6.Default" %>

<!DOCTYPE html>

<html xmlns="http://www.w3.org/1999/xhtml">
<head runat="server">
<meta http-equiv="Content-Type" content="text/html; charset=utf-8"/>
    <title></title>
</head>
<body>
    <form id="form1" runat="server">
        <div>
            <asp:SqlDataSource ID="SqlDataSource1" runat="server" ConnectionString="<%$ ConnectionStrings:TestDBConnectionString %>" SelectCommand="SELECT * FROM [Table1]">
            </asp:SqlDataSource>
            <br />
            <asp:ListView ID="ListView1" runat="server" DataKeyNames="id" DataSourceID="SqlDataSource1" InsertItemPosition="LastItem">
                <AlternatingItemTemplate>
                    <tr style="background-color:#FFF8DC;">
                        <td>
                            <asp:Button ID="DeleteButton" runat="server" CommandName="Delete" Text="刪除" />
                            <asp:Button ID="EditButton" runat="server" CommandName="Edit" Text="編輯" />
                        </td>
                        <td>
                            <asp:Label ID="idLabel" runat="server" Text='<%# WebApplication6.Common.AntiXssEval(Eval("id")) %>' />
                        </td>
                        <td>
                            <asp:Label ID="FieldTextLabel" runat="server" Text='<%# WebApplication6.Common.HtmlSanitizerEval(Eval("FieldText")) %>' />
                        </td>
                        <td>
                            <asp:Label ID="FieldDateTimeLabel" runat="server" Text='<%# Eval("FieldDateTime") %>' />
                        </td>
                        <td>
                            <asp:Label ID="FieldIntLabel" runat="server" Text='<%# Eval("FieldInt") %>' />
                        </td>
                        <td>
                            <asp:CheckBox ID="FieldBitCheckBox" runat="server" Checked='<%# Eval("FieldBit") %>' Enabled="false" />
                        </td>
                    </tr>
                </AlternatingItemTemplate>
                <EditItemTemplate>
                    <tr style="background-color:#008A8C;color: #FFFFFF;">
                        <td>
                            <asp:Button ID="UpdateButton" runat="server" CommandName="Update" Text="更新" />
                            <asp:Button ID="CancelButton" runat="server" CommandName="Cancel" Text="取消" />
                        </td>
                        <td>
                            <asp:Label ID="idLabel1" runat="server" Text='<%# Eval("id") %>' />
                        </td>
                        <td>
                            <asp:TextBox ID="FieldTextTextBox" runat="server" Text='<%# Bind("FieldText") %>' />
                        </td>
                        <td>
                            <asp:TextBox ID="FieldDateTimeTextBox" runat="server" Text='<%# Bind("FieldDateTime") %>' />
                        </td>
                        <td>
                            <asp:TextBox ID="FieldIntTextBox" runat="server" Text='<%# Bind("FieldInt") %>' />
                        </td>
                        <td>
                            <asp:CheckBox ID="FieldBitCheckBox" runat="server" Checked='<%# Bind("FieldBit") %>' />
                        </td>
                    </tr>
                </EditItemTemplate>
                <EmptyDataTemplate>
                    <table runat="server" style="background-color: #FFFFFF;border-collapse: collapse;border-color: #999999;border-style:none;border-width:1px;">
                        <tr>
                            <td>未傳回資料。</td>
                        </tr>
                    </table>
                </EmptyDataTemplate>
                <InsertItemTemplate>
                    <tr style="">
                        <td>
                            <asp:Button ID="InsertButton" runat="server" CommandName="Insert" Text="插入" />
                            <asp:Button ID="CancelButton" runat="server" CommandName="Cancel" Text="清除" />
                        </td>
                        <td>&nbsp;</td>
                        <td>
                            <asp:TextBox ID="FieldTextTextBox" runat="server" Text='<%# Bind("FieldText") %>' />
                        </td>
                        <td>
                            <asp:TextBox ID="FieldDateTimeTextBox" runat="server" Text='<%# Bind("FieldDateTime") %>' />
                        </td>
                        <td>
                            <asp:TextBox ID="FieldIntTextBox" runat="server" Text='<%# Bind("FieldInt") %>' />
                        </td>
                        <td>
                            <asp:CheckBox ID="FieldBitCheckBox" runat="server" Checked='<%# Bind("FieldBit") %>' />
                        </td>
                    </tr>
                </InsertItemTemplate>
                <ItemTemplate>
                    <tr style="background-color:#DCDCDC;color: #000000;">
                        <td>
                            <asp:Button ID="DeleteButton" runat="server" CommandName="Delete" Text="刪除" />
                            <asp:Button ID="EditButton" runat="server" CommandName="Edit" Text="編輯" />
                        </td>
                         <td>
                            <asp:Label ID="idLabel" runat="server" Text='<%# WebApplication6.Common.AntiXssEval(Eval("id")) %>' />
                        </td>
                        <td>
                            <asp:Label ID="FieldTextLabel" runat="server" Text='<%# WebApplication6.Common.HtmlSanitizerEval(Eval("FieldText")) %>' />
                        </td>
                        <td>
                            <asp:Label ID="FieldDateTimeLabel" runat="server" Text='<%# Eval("FieldDateTime") %>' />
                        </td>
                        <td>
                            <asp:Label ID="FieldIntLabel" runat="server" Text='<%# Eval("FieldInt") %>' />
                        </td>
                        <td>
                            <asp:CheckBox ID="FieldBitCheckBox" runat="server" Checked='<%# Eval("FieldBit") %>' Enabled="false" />
                        </td>
                    </tr>
                </ItemTemplate>
                <LayoutTemplate>
                    <table runat="server">
                        <tr runat="server">
                            <td runat="server">
                                <table id="itemPlaceholderContainer" runat="server" border="1" style="background-color: #FFFFFF;border-collapse: collapse;border-color: #999999;border-style:none;border-width:1px;font-family: Verdana, Arial, Helvetica, sans-serif;">
                                    <tr runat="server" style="background-color:#DCDCDC;color: #000000;">
                                        <th runat="server"></th>
                                        <th runat="server">id</th>
                                        <th runat="server">FieldText</th>
                                        <th runat="server">FieldDateTime</th>
                                        <th runat="server">FieldInt</th>
                                        <th runat="server">FieldBit</th>
                                    </tr>
                                    <tr id="itemPlaceholder" runat="server">
                                    </tr>
                                </table>
                            </td>
                        </tr>
                        <tr runat="server">
                            <td runat="server" style="text-align: center;background-color: #CCCCCC;font-family: Verdana, Arial, Helvetica, sans-serif;color: #000000;">
                                <asp:DataPager ID="DataPager1" runat="server">
                                    <Fields>
                                        <asp:NextPreviousPagerField ButtonType="Button" ShowFirstPageButton="True" ShowLastPageButton="True" />
                                    </Fields>
                                </asp:DataPager>
                            </td>
                        </tr>
                    </table>
                </LayoutTemplate>
                <SelectedItemTemplate>
                    <tr style="background-color:#008A8C;font-weight: bold;color: #FFFFFF;">
                        <td>
                            <asp:Button ID="DeleteButton" runat="server" CommandName="Delete" Text="刪除" />
                            <asp:Button ID="EditButton" runat="server" CommandName="Edit" Text="編輯" />
                        </td>
                        <td>
                            <asp:Label ID="idLabel" runat="server" Text='<%# Eval("id") %>' />
                        </td>
                        <td>
                            <asp:Label ID="FieldTextLabel" runat="server" Text='<%# WebApplication6.Common.AntiXssEval(Eval("FieldText")) %>' />
                        </td>
                        <td>
                            <asp:Label ID="FieldDateTimeLabel" runat="server" Text='<%# WebApplication6.Common.HtmlSanitizerEval(Eval("FieldDateTime")) %>' />
                        </td>
                        <td>
                            <asp:Label ID="FieldIntLabel" runat="server" Text='<%# Eval("FieldInt") %>' />
                        </td>
                        <td>
                            <asp:CheckBox ID="FieldBitCheckBox" runat="server" Checked='<%# Eval("FieldBit") %>' Enabled="false" />
                        </td>
                    </tr>
                </SelectedItemTemplate>
            </asp:ListView>
        </div>
    </form>
</body>
</html>


Default.aspx.cs


using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.UI;
using System.Web.UI.WebControls;
using WebApplication6;

namespace WebApplication6
{
    public partial class Default : System.Web.UI.Page
    {
        protected void Page_Load(object sender, EventArgs e)
        {
            
        }
    }
}


Common.cs


using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;

namespace WebApplication6
{
    public class Common
    {
        static public string AntiXssEval(object object1)
        {
            return System.Web.Security.AntiXss.AntiXssEncoder.HtmlEncode((object1 == null ? "" : object1.ToString()), true);
        }
        static public string HtmlSanitizerEval(object object1)
        {
            return MyAntiXssFilter((object1 == null ? "" : object1.ToString()));
        }
        public static string MyAntiXssFilter(object inputObject)
        {
            string inputStr = "";
            if (inputObject != null)
            {
                inputStr = inputObject.ToString();
            }
            var sanitizer = new Ganss.XSS.HtmlSanitizer();
            sanitizer.AllowedAttributes.Add("class");
            sanitizer.AllowedAttributes.Add("id");
            var sanitized = sanitizer.Sanitize(inputStr);
            return sanitized;
        }
    }
}


結論:

一般文字、數字

<asp:Label ID="idLabel" runat="server" Text='<%# Eval("id") %>' />

改成

<asp:Label ID="idLabel" runat="server" Text='<%# WebApplication6.Common.AntiXssEval(Eval("id")) %>' />

注意,日期修改要連前面的 String.Format 都放入 AntiXssEval 中,否則顯示會包含 時分秒部分。

<asp:Label ID="myDateLabel" runat="server" Text='<%# String.Format("{0:MM/dd/yyyy}", Eval("myDate")) %>' />

改成

<asp:Label ID="myDateLabel" runat="server" Text='<%# WebApplication6.Common.AntiXssEval(String.Format("{0:MM/dd/yyyy}", Eval("myDate"))) %>' />

(完)

2020年10月8日 星期四

[研究]Youtube影片自動翻譯字幕

[研究]Youtube影片自動翻譯字幕

2020-10-08

注意,不是滑鼠移過去就可以,要左鍵點一下 (click)。




(下圖) 實際測試 Android 手機 Chrome 連上 youtube 沒有自動翻譯功能,MS-Windows 上才有。



(完)

2020年10月3日 星期六

[研究] Apache Web Server (httpd-2.4.46.tar.gz) 安裝 (CentOS 8.2)

[研究] Apache Web Server (httpd-2.4.46.tar.gz) 安裝 (CentOS 8.2)

2020-10-03

安裝參考

http://httpd.apache.org/docs/2.4/en/install.html


yum  -y  install  apr  apr-util  pcre  apr-devel  apr-util-devel  pcre-devel  gcc  make  redhat-rpm-config

cd  /usr/local/src

wget  http://apache.stu.edu.tw//httpd/httpd-2.4.46.tar.gz

tar  xvfz httpd-2.4.46.tar.gz

cd  httpd-2.4.46

./configure

make

make  install


啟動

/usr/local/apache2/bin/apachectl -k start


測試 ( 若 IP 為 192.168.128.130)

http://192.168.128.130/


停止

/usr/local/apache2/bin/apachectl -k stop


設定檔案在

/usr/local/apache2/conf/httpd.conf


(完)

[研究] Apache Tomcat 9.0.38 + HTTPS(SSL) + nmap 7.80 支援加密演算法最大長度金鑰 測試

[研究] Apache Tomcat 9.0.38 + HTTPS(SSL) + nmap 7.80 支援加密演算法最大長度金鑰 測試

2020-10-03

資通安全責任等級分級辦法 EN

附表十 資通系統防護基準.PDF
控制措施-構面:系統與通訊保護
控制措施-措施內容:傳輸之機密性與完整性
系統防護需求分級:(高等級系統)支援演算法最大長度金鑰。

參考

[研究] Apache Tomcat 7, 8.5, 9.0 使用 SSL 連線

apache-tomcat-9.0.38.exe

測試
nmap --script ssl-cert,ssl-enum-ciphers -p 8443 192.168.128.143

********************************************************************************
Starting Nmap 7.80 ( https://nmap.org ) at 2020-10-03 08:23 ¥x¥_?D·CRE?!
Nmap scan report for 192.168.128.143
Host is up (0.00013s latency).

PORT     STATE SERVICE
8443/tcp open  https-alt
| ssl-cert: Subject: commonName=Unknown/organizationName=Unknown/stateOrProvinceName=Unknown/countryName=Unknown
| Issuer: commonName=Unknown/organizationName=Unknown/stateOrProvinceName=Unknown/countryName=Unknown
| Public Key type: rsa
| Public Key bits: 2048
| Signature Algorithm: sha256WithRSAEncryption
| Not valid before: 2020-10-03T00:17:37
| Not valid after:  2021-01-01T00:17:37
| MD5:   65ec 1368 bce7 d8fe 368e 14f9 7c24 f84f
|_SHA-1: 1e57 eaed 13ef 3337 6007 2fd7 d321 235b b983 69b7
| ssl-enum-ciphers: 
|   TLSv1.0: 
|     ciphers: 
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 1024) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|     compressors: 
|       NULL
|     cipher preference: client
|     warnings: 
|       Key exchange (dh 1024) of lower strength than certificate key
|   TLSv1.1: 
|     ciphers: 
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 1024) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|     compressors: 
|       NULL
|     cipher preference: client
|     warnings: 
|       Key exchange (dh 1024) of lower strength than certificate key
|   TLSv1.2: 
|     ciphers: 
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 1024) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|     compressors: 
|       NULL
|     cipher preference: client
|     warnings: 
|       Key exchange (dh 1024) of lower strength than certificate key
|_  least strength: A

MAC Address: 00:0C:29:DB:2D:98 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 2.43 seconds


********************************************************************************
結果:

支援AES_256

支援 SHA256 和 SHA384

支援 rsa 2048

這是預設支援的,根據 SSDLC 的安全建議,有些建議關閉。

IIS Crypto Version 3.2 Build 16 - Released April 11, 2020
至少要 Windows Server 2008

另外也可用 SSL Labs 網站進行測試。

https://www.ssllabs.com/ssltest/

(完)

相關 

進階加密標準(英語:Advanced Encryption Standard,縮寫:AES) - 維基百科,自由的百科全書
https://zh.wikipedia.org/wiki/%E9%AB%98%E7%BA%A7%E5%8A%A0%E5%AF%86%E6%A0%87%E5%87%86

SHA家族 - 維基百科,自由的百科全書
https://zh.wikipedia.org/wiki/SHA%E5%AE%B6%E6%97%8F

RSA加密演算法 - 維基百科,自由的百科全書
https://zh.wikipedia.org/wiki/RSA%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95

 

[研究] Apache Tomcat 8.5.58 + HTTPS(SSL) + nmap 7.80 支援加密演算法最大長度金鑰 測試

[研究] Apache Tomcat 8.5.58 + HTTPS(SSL) + nmap 7.80 支援加密演算法最大長度金鑰 測試

2020-10-03

資通安全責任等級分級辦法 EN

附表十 資通系統防護基準.PDF
控制措施-構面:系統與通訊保護
控制措施-措施內容:傳輸之機密性與完整性
系統防護需求分級:(高等級系統)支援演算法最大長度金鑰。

參考

[研究] Apache Tomcat 7, 8.5 使用 SSL 連線

apache-tomcat-8.5.58.exe

測試
nmap --script ssl-cert,ssl-enum-ciphers -p 8443 192.168.128.140

********************************************************************************
Starting Nmap 7.80 ( https://nmap.org ) at 2020-10-03 07:39 ¥x¥_?D·CRE?!
Nmap scan report for 192.168.128.140
Host is up (0.0010s latency).

PORT     STATE SERVICE
8443/tcp open  https-alt
| ssl-cert: Subject: commonName=Unknown/organizationName=Unknown/stateOrProvinceName=Unknown/countryName=Unknown
| Issuer: commonName=Unknown/organizationName=Unknown/stateOrProvinceName=Unknown/countryName=Unknown
| Public Key type: rsa
| Public Key bits: 2048
| Signature Algorithm: sha256WithRSAEncryption
| Not valid before: 2020-10-02T23:35:41
| Not valid after:  2020-12-31T23:35:41
| MD5:   3adc 07e1 7b86 11fa 3881 5cf6 b53a 6411
|_SHA-1: 4570 b5e0 23bb 9d31 47c9 25fa 76b6 f74c 28b5 d50f
| ssl-enum-ciphers: 
|   TLSv1.0: 
|     ciphers: 
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 1024) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|     compressors: 
|       NULL
|     cipher preference: client
|     warnings: 
|       Key exchange (dh 1024) of lower strength than certificate key
|   TLSv1.1: 
|     ciphers: 
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 1024) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|     compressors: 
|       NULL
|     cipher preference: client
|     warnings: 
|       Key exchange (dh 1024) of lower strength than certificate key
|   TLSv1.2: 
|     ciphers: 
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 1024) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1)  A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|     compressors: 
|       NULL
|     cipher preference: client
|     warnings: 
|       Key exchange (dh 1024) of lower strength than certificate key
|_  least strength: A

MAC Address: 00:0C:29:DB:2D:98 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 3.95 seconds


********************************************************************************
結果:

支援AES_256

支援 SHA256 和 SHA384

支援 rsa 2048

這是預設支援的,根據 SSDLC 的安全建議,有些建議關閉。

IIS Crypto Version 3.2 Build 16 - Released April 11, 2020
至少要 Windows Server 2008

另外也可用 SSL Labs 網站進行測試。

https://www.ssllabs.com/ssltest/

(完)

相關 

進階加密標準(英語:Advanced Encryption Standard,縮寫:AES) - 維基百科,自由的百科全書
https://zh.wikipedia.org/wiki/%E9%AB%98%E7%BA%A7%E5%8A%A0%E5%AF%86%E6%A0%87%E5%87%86

SHA家族 - 維基百科,自由的百科全書
https://zh.wikipedia.org/wiki/SHA%E5%AE%B6%E6%97%8F

RSA加密演算法 - 維基百科,自由的百科全書
https://zh.wikipedia.org/wiki/RSA%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95

 

2020年10月2日 星期五

[研究] Apache Tomcat 7.0.106 + HTTPS(SSL) + nmap 7.80 支援加密演算法最大長度金鑰 測試

 [研究] Apache Tomcat 7.0.106 + HTTPS(SSL) + nmap 7.80 支援加密演算法最大長度金鑰 測試

2020-10-02

資通安全責任等級分級辦法 EN

附表十 資通系統防護基準.PDF
控制措施-構面:系統與通訊保護
控制措施-措施內容:傳輸之機密性與完整性
系統防護需求分級:(高等級系統)支援演算法最大長度金鑰。

[研究] Apache Tomcat 7 使用 SSL 連線

測試
nmap --script ssl-cert,ssl-enum-ciphers -p 8443 192.168.128.128

********************************************************************************
Starting Nmap 7.80 ( https://nmap.org ) at 2020-10-02 22:08 ¥x¥_?D·CRE?!
Nmap scan report for 192.168.128.128
Host is up (0.00088s latency).

PORT     STATE SERVICE
8443/tcp open  https-alt
| ssl-cert: Subject: commonName=Unknown/organizationName=Unknown/stateOrProvinceName=Unknown/countryName=Unknown
| Issuer: commonName=Unknown/organizationName=Unknown/stateOrProvinceName=Unknown/countryName=Unknown
| Public Key type: rsa
| Public Key bits: 2048
| Signature Algorithm: sha256WithRSAEncryption
| Not valid before: 2020-10-02T14:07:42
| Not valid after:  2020-12-31T14:07:42
| MD5:   edf5 e679 88a6 880c c107 a82f 3fdd c3fc
|_SHA-1: 2815 7b76 4da4 98b3 e884 4bc5 7a73 f160 cbc7 493d
| ssl-enum-ciphers: 
|   TLSv1.0: 
|     ciphers: 
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 1024) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|     compressors: 
|       NULL
|     cipher preference: client
|     warnings: 
|       Key exchange (dh 1024) of lower strength than certificate key
|   TLSv1.1: 
|     ciphers: 
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 1024) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|     compressors: 
|       NULL
|     cipher preference: client
|     warnings: 
|       Key exchange (dh 1024) of lower strength than certificate key
|   TLSv1.2: 
|     ciphers: 
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 1024) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|     compressors: 
|       NULL
|     cipher preference: client
|     warnings: 
|       Key exchange (dh 1024) of lower strength than certificate key
|_  least strength: A

MAC Address: 00:0C:29:DB:2D:98 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 2.34 seconds


********************************************************************************
結果:

支援AES_256

支援 SHA256 和 SHA384

支援 rsa 2048

這是預設支援的,根據 SSDLC 的安全建議,有些建議關閉。

IIS Crypto Version 3.2 Build 16 - Released April 11, 2020
至少要 Windows Server 2008

另外也可用 SSL Labs 網站進行測試。

https://www.ssllabs.com/ssltest/

(完)

相關 

進階加密標準(英語:Advanced Encryption Standard,縮寫:AES) - 維基百科,自由的百科全書
https://zh.wikipedia.org/wiki/%E9%AB%98%E7%BA%A7%E5%8A%A0%E5%AF%86%E6%A0%87%E5%87%86

SHA家族 - 維基百科,自由的百科全書
https://zh.wikipedia.org/wiki/SHA%E5%AE%B6%E6%97%8F

RSA加密演算法 - 維基百科,自由的百科全書
https://zh.wikipedia.org/wiki/RSA%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95

 

[研究] Apache Tomcat 7., 8.5.x, 9.x 使用 SSL 連線安裝設定 (Windows Server 2019)

[研究] Apache Tomcat 7.x, 8.5.x, 9.x 使用 SSL 連線安裝設定 (Windows Server 2019)

2020-10-02

官方網站

https://tomcat.apache.org/download-70.cgi

下載安裝 apache-tomcat-7.0.106.exe

參考

https://tomcat.apache.org/tomcat-7.0-doc/ssl-howto.html

建立憑證

C:\>mkdir KeyStore

C:\>cd KeyStore

C:\KeyStore>"C:\Program Files\Java\jre1.8.0_261\bin\keytool" -genkey -alias TomcatSSL -keyalg RSA -keypass KeyPassword -storepass StorePassword -keystore keystore.jks -deststoretype pkcs12

警告: PKCS12 金鑰儲存庫不支援不同的儲存庫和金鑰密碼。忽略使用者指定的 -keypass 值。

您的名字與姓氏為何?

  [Unknown]:

您的組織單位名稱為何?

  [Unknown]:

您的組織名稱為何?

  [Unknown]:

您所在的城市或地區名稱為何?

  [Unknown]:

您所在的州及省份名稱為何?

  [Unknown]:

此單位的兩個字母國別代碼為何?

  [Unknown]:

CN=Unknown, OU=Unknown, O=Unknown, L=Unknown, ST=Unknown, C=Unknown 正確嗎?

  [否]:  y

C:\KeyStore>

********************************************************************************

編輯設定檔 conf\server.xml

若為 apache tomcat 7.x,修改

C:\Program Files\Apache Software Foundation\Tomcat 7.0\conf\server.xml

找到 <Connector port="8443" 開頭,編輯如下

<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"

               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"

               keystoreFile="C:/KeyStore/keystore.jks" keystorePass="StorePassword"

               clientAuth="false" sslProtocol="TLS" />

********************************************************************************

若為 apache tomcat 8.5.x,修改

C:\Program Files\Apache Software Foundation\Tomcat 8.5\conf\server.xml 

<!--

    <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"

               maxThreads="150" SSLEnabled="true">

        <SSLHostConfig>

            <Certificate certificateKeystoreFile="conf/localhost-rsa.jks"

                         type="RSA" />

        </SSLHostConfig>

    </Connector>

    -->

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"

               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"

               keystoreFile="C:/KeyStore/keystore.jks" keystorePass="StorePassword"

               clientAuth="false" sslProtocol="TLS">

        <!-- <SSLHostConfig> 

            <Certificate certificateKeystoreFile="C:\KeyStore\keystore.jks" 

                          type="RSA" />

         </SSLHostConfig> -->

    </Connector>

********************************************************************************

若為 apache tomcat 9.x,修改

C:\Program Files\Apache Software Foundation\Tomcat 9.0\conf\server.xml 

內容改法同8.5

********************************************************************************


重新啟動【服務】中的 Apache Tomcat 7.0 Tomcat7 服務


https://localhost:8443/

https://xxx.xxx.xxx.xxx:8443/

即可連上。

PS:記得關閉防火牆或開放port 8443



(完)

[研究] Apache HTTP Server 2.4.46 + HTTPS(SSL) + nmap 7.80 支援加密演算法最大長度金鑰 測試

[研究] Apache HTTP Server 2.4.46 + HTTPS(SSL) + nmap 7.80 支援加密演算法最大長度金鑰 測試

2020-10-02

資通安全責任等級分級辦法 EN

附表十 資通系統防護基準.PDF
控制措施-構面:系統與通訊保護
控制措施-措施內容:傳輸之機密性與完整性
系統防護需求分級:(高等級系統)支援演算法最大長度金鑰。

Apache HTTPD Server 
XAMPP 3.2.4 (內含 HTTPd 2.4.46)

參考
[研究] Apache HTTPd Web Server 2.4.23 + HTTPS (SSL) 安裝 (Windows 2012 R2)

環境
Windows Server 2019  + httpd-2.4.46-win64-VS16.zip

測試
nmap --script ssl-cert,ssl-enum-ciphers -p 443 192.168.128.128

********************************************************************************
Starting Nmap 7.80 ( https://nmap.org ) at 2020-10-02 20:11 ¥x¥_?D·CRE?!
Nmap scan report for 192.168.128.128
Host is up (0.00s latency).

PORT    STATE SERVICE
443/tcp open  https
| ssl-cert: Subject: organizationName=Internet Widgits Pty Ltd/stateOrProvinceName=Taiwan/countryName=TW
| Issuer: organizationName=Internet Widgits Pty Ltd/stateOrProvinceName=Taiwan/countryName=TW
| Public Key type: rsa
| Public Key bits: 2048
| Signature Algorithm: sha256WithRSAEncryption
| Not valid before: 2020-10-02T12:06:04
| Not valid after:  2021-10-02T12:06:04
| MD5:   66e1 3678 8066 52a8 eeff d011 a991 f06f
|_SHA-1: 66f3 cb11 7f03 198d eb73 be59 0fd9 cbb1 db38 dfac
| ssl-enum-ciphers: 
|   TLSv1.0: 
|     ciphers: 
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (ecdh_x25519) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A
|       TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (dh 2048) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (ecdh_x25519) - A
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A
|       TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (dh 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 2048) - A
|       TLS_DHE_RSA_WITH_SEED_CBC_SHA (dh 2048) - A
|       TLS_RSA_WITH_SEED_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_IDEA_CBC_SHA (rsa 2048) - A
|     compressors: 
|       NULL
|     cipher preference: server
|     warnings: 
|       64-bit block cipher IDEA vulnerable to SWEET32 attack
|   TLSv1.1: 
|     ciphers: 
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (ecdh_x25519) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A
|       TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (dh 2048) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (ecdh_x25519) - A
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A
|       TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (dh 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 2048) - A
|       TLS_DHE_RSA_WITH_SEED_CBC_SHA (dh 2048) - A
|       TLS_RSA_WITH_SEED_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_IDEA_CBC_SHA (rsa 2048) - A
|     compressors: 
|       NULL
|     cipher preference: server
|     warnings: 
|       64-bit block cipher IDEA vulnerable to SWEET32 attack
|   TLSv1.2: 
|     ciphers: 
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (ecdh_x25519) - A
|       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) - A
|       TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (ecdh_x25519) - A
|       TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (dh 2048) - A
|       TLS_DHE_RSA_WITH_AES_256_CCM_8 (dh 2048) - A
|       TLS_DHE_RSA_WITH_AES_256_CCM (dh 2048) - A
|       TLS_ECDHE_RSA_WITH_ARIA_256_GCM_SHA384 (ecdh_x25519) - A
|       TLS_DHE_RSA_WITH_ARIA_256_GCM_SHA384 (dh 2048) - A
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (ecdh_x25519) - A
|       TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 2048) - A
|       TLS_DHE_RSA_WITH_AES_128_CCM_8 (dh 2048) - A
|       TLS_DHE_RSA_WITH_AES_128_CCM (dh 2048) - A
|       TLS_ECDHE_RSA_WITH_ARIA_128_GCM_SHA256 (ecdh_x25519) - A
|       TLS_DHE_RSA_WITH_ARIA_128_GCM_SHA256 (dh 2048) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (ecdh_x25519) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (dh 2048) - A
|       TLS_ECDHE_RSA_WITH_CAMELLIA_256_CBC_SHA384 (ecdh_x25519) - A
|       TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA256 (dh 2048) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (ecdh_x25519) - A
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (dh 2048) - A
|       TLS_ECDHE_RSA_WITH_CAMELLIA_128_CBC_SHA256 (ecdh_x25519) - A
|       TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA256 (dh 2048) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (ecdh_x25519) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A
|       TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (dh 2048) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (ecdh_x25519) - A
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A
|       TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (dh 2048) - A
|       TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CCM_8 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CCM (rsa 2048) - A
|       TLS_RSA_WITH_ARIA_256_GCM_SHA384 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CCM_8 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CCM (rsa 2048) - A
|       TLS_RSA_WITH_ARIA_128_GCM_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 2048) - A
|       TLS_DHE_RSA_WITH_SEED_CBC_SHA (dh 2048) - A
|       TLS_RSA_WITH_SEED_CBC_SHA (rsa 2048) - A
|     compressors: 
|       NULL
|     cipher preference: server
|_  least strength: A

MAC Address: 00:0C:29:DB:2D:98 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 2.30 seconds


********************************************************************************
結果:

支援AES_256

支援 SHA256 和 SHA384

支援 rsa 2048

這是預設支援的,根據 SSDLC 的安全建議,有些建議關閉。

IIS Crypto Version 3.2 Build 16 - Released April 11, 2020
至少要 Windows Server 2008

另外也可用 SSL Labs 網站進行測試。

https://www.ssllabs.com/ssltest/

(完)

相關 

進階加密標準(英語:Advanced Encryption Standard,縮寫:AES) - 維基百科,自由的百科全書
https://zh.wikipedia.org/wiki/%E9%AB%98%E7%BA%A7%E5%8A%A0%E5%AF%86%E6%A0%87%E5%87%86

SHA家族 - 維基百科,自由的百科全書
https://zh.wikipedia.org/wiki/SHA%E5%AE%B6%E6%97%8F

RSA加密演算法 - 維基百科,自由的百科全書
https://zh.wikipedia.org/wiki/RSA%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95

 

[研究] Windows Server 2016 + IIS + nmap 7.80 支援加密演算法最大長度金鑰 測試

[研究] Windows Server 2016 + IIS + nmap 7.80 支援加密演算法最大長度金鑰 測試

2020-10-02

資通安全責任等級分級辦法 EN

附表十 資通系統防護基準.PDF
控制措施-構面:系統與通訊保護
控制措施-措施內容:傳輸之機密性與完整性
系統防護需求分級:(高等級系統)支援演算法最大長度金鑰。

環境
Windows Server 2016 + IIS + nmap 7.80

測試
nmap --script ssl-cert,ssl-enum-ciphers -p 443 192.168.128.137

********************************************************************************

Starting Nmap 7.80 ( https://nmap.org ) at 2020-10-02 16:49 ¥x¥_?D·CRE?!
Nmap scan report for 192.168.128.137
Host is up (0.0010s latency).

PORT    STATE SERVICE
443/tcp open  https
| ssl-cert: Subject: commonName=WIN-1VCCHBG7475
| Issuer: commonName=WIN-1VCCHBG7475
| Public Key type: rsa
| Public Key bits: 2048
| Signature Algorithm: sha256WithRSAEncryption
| Not valid before: 2020-10-02T08:48:32
| Not valid after:  2021-10-02T00:00:00
| MD5:   d5a4 054c 1028 7523 89cc 5bba ca8f 06ad
|_SHA-1: ca09 533e 5aa6 d2a8 292d fe6f cf3c 323f a031 6bb9
| ssl-enum-ciphers: 
|   TLSv1.0: 
|     ciphers: 
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (ecdh_x25519) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (ecdh_x25519) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C
|     compressors: 
|       NULL
|     cipher preference: server
|     warnings: 
|       64-bit block cipher 3DES vulnerable to SWEET32 attack
|       Broken cipher RC4 is deprecated by RFC 7465
|       Ciphersuite uses MD5 for message integrity
|   TLSv1.1: 
|     ciphers: 
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (ecdh_x25519) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (ecdh_x25519) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C
|     compressors: 
|       NULL
|     cipher preference: server
|     warnings: 
|       64-bit block cipher 3DES vulnerable to SWEET32 attack
|       Broken cipher RC4 is deprecated by RFC 7465
|       Ciphersuite uses MD5 for message integrity
|   TLSv1.2: 
|     ciphers: 
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (ecdh_x25519) - A
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (ecdh_x25519) - A
|       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) - A
|       TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 2048) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (ecdh_x25519) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (ecdh_x25519) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (ecdh_x25519) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (ecdh_x25519) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A
|       TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C
|     compressors: 
|       NULL
|     cipher preference: server
|     warnings: 
|       64-bit block cipher 3DES vulnerable to SWEET32 attack
|       Broken cipher RC4 is deprecated by RFC 7465
|       Ciphersuite uses MD5 for message integrity
|_  least strength: C

MAC Address: 00:0C:29:E5:36:D2 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 2.43 seconds



********************************************************************************
結果:

支援AES_256

支援 SHA256

支援 rsa 2048

這是預設支援的,根據 SSDLC 的安全建議,有些建議關閉。

IIS Crypto Version 3.2 Build 16 - Released April 11, 2020
至少要 Windows Server 2008

另外也可用 SSL Labs 網站進行測試。

https://www.ssllabs.com/ssltest/

(完)

相關 

進階加密標準(英語:Advanced Encryption Standard,縮寫:AES) - 維基百科,自由的百科全書
https://zh.wikipedia.org/wiki/%E9%AB%98%E7%BA%A7%E5%8A%A0%E5%AF%86%E6%A0%87%E5%87%86

SHA家族 - 維基百科,自由的百科全書
https://zh.wikipedia.org/wiki/SHA%E5%AE%B6%E6%97%8F

RSA加密演算法 - 維基百科,自由的百科全書
https://zh.wikipedia.org/wiki/RSA%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95

 

[研究] Windows Server 2012 R2 + IIS + nmap 7.80 支援加密演算法最大長度金鑰 測試

 [研究] Windows Server 2012 R2 + IIS + nmap 7.80 支援加密演算法最大長度金鑰 測試

2020-10-02

資通安全責任等級分級辦法 EN

附表十 資通系統防護基準.PDF
控制措施-構面:系統與通訊保護
控制措施-措施內容:傳輸之機密性與完整性
系統防護需求分級:(高等級系統)支援演算法最大長度金鑰。

環境
Windows Server 2012 R2 + IIS + nmap 7.80 

測試
nmap --script ssl-cert,ssl-enum-ciphers -p 443 192.168.128.136

********************************************************************************

Starting Nmap 7.80 ( https://nmap.org ) at 2020-10-02 15:26 ¥x¥_?D·CRE?!
Nmap scan report for 192.168.128.136
Host is up (0.00088s latency).

PORT    STATE SERVICE
443/tcp open  https
| ssl-cert: Subject: commonName=WIN-JVLONPDQ6DO
| Issuer: commonName=WIN-JVLONPDQ6DO
| Public Key type: rsa
| Public Key bits: 2048
| Signature Algorithm: sha1WithRSAEncryption
| Not valid before: 2020-10-02T07:26:21
| Not valid after:  2021-10-02T00:00:00
| MD5:   98bc 0d11 af83 ee14 89c9 459b afaf 72a9
|_SHA-1: 6589 3497 7a61 4e2d 0248 4a87 9722 0f14 f89c a545
| ssl-enum-ciphers: 
|   SSLv3: 
|     ciphers: 
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C
|     compressors: 
|       NULL
|     cipher preference: server
|     warnings: 
|       64-bit block cipher 3DES vulnerable to SWEET32 attack
|       Broken cipher RC4 is deprecated by RFC 7465
|       CBC-mode cipher in SSLv3 (CVE-2014-3566)
|       Ciphersuite uses MD5 for message integrity
|       Forward Secrecy not supported by any cipher
|       Weak certificate signature: SHA1
|   TLSv1.0: 
|     ciphers: 
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C
|     compressors: 
|       NULL
|     cipher preference: server
|     warnings: 
|       64-bit block cipher 3DES vulnerable to SWEET32 attack
|       Broken cipher RC4 is deprecated by RFC 7465
|       Ciphersuite uses MD5 for message integrity
|       Weak certificate signature: SHA1
|   TLSv1.1: 
|     ciphers: 
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C
|     compressors: 
|       NULL
|     cipher preference: server
|     warnings: 
|       64-bit block cipher 3DES vulnerable to SWEET32 attack
|       Broken cipher RC4 is deprecated by RFC 7465
|       Ciphersuite uses MD5 for message integrity
|       Weak certificate signature: SHA1
|   TLSv1.2: 
|     ciphers: 
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 1024) - A
|       TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C
|     compressors: 
|       NULL
|     cipher preference: server
|     warnings: 
|       64-bit block cipher 3DES vulnerable to SWEET32 attack
|       Broken cipher RC4 is deprecated by RFC 7465
|       Ciphersuite uses MD5 for message integrity
|       Key exchange (dh 1024) of lower strength than certificate key
|       Weak certificate signature: SHA1
|_  least strength: C

MAC Address: 00:0C:29:1A:6D:80 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 2.17 seconds


********************************************************************************
結果:

支援AES_256

支援 SHA256

支援 rsa 2048

這是預設支援的,根據 SSDLC 的安全建議,有些建議關閉。

IIS Crypto Version 3.2 Build 16 - Released April 11, 2020
至少要 Windows Server 2008

另外也可用 SSL Labs 網站進行測試。

https://www.ssllabs.com/ssltest/

(完)

相關 

進階加密標準(英語:Advanced Encryption Standard,縮寫:AES) - 維基百科,自由的百科全書
https://zh.wikipedia.org/wiki/%E9%AB%98%E7%BA%A7%E5%8A%A0%E5%AF%86%E6%A0%87%E5%87%86

SHA家族 - 維基百科,自由的百科全書
https://zh.wikipedia.org/wiki/SHA%E5%AE%B6%E6%97%8F

RSA加密演算法 - 維基百科,自由的百科全書
https://zh.wikipedia.org/wiki/RSA%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95

 

[研究] Windows Server 2012 + IIS + nmap 7.80 支援加密演算法最大長度金鑰 測試

[研究] Windows Server 2012 + IIS + nmap 7.80 支援加密演算法最大長度金鑰 測試

2020-10-02

資通安全責任等級分級辦法 EN

附表十 資通系統防護基準.PDF
控制措施-構面:系統與通訊保護
控制措施-措施內容:傳輸之機密性與完整性
系統防護需求分級:(高等級系統)支援演算法最大長度金鑰。

環境
Windows Server 2012 + IIS + nmap 7.80 

測試
nmap --script ssl-cert,ssl-enum-ciphers -p 443 192.168.128.135

********************************************************************************

Starting Nmap 7.80 ( https://nmap.org ) at 2020-10-02 14:44 ¥x¥_?D·CRE?!
Nmap scan report for 192.168.128.135
Host is up (0.00s latency).

PORT    STATE SERVICE
443/tcp open  https
| ssl-cert: Subject: commonName=WIN-E5K75Q6PICR
| Issuer: commonName=WIN-E5K75Q6PICR
| Public Key type: rsa
| Public Key bits: 2048
| Signature Algorithm: sha1WithRSAEncryption
| Not valid before: 2020-10-02T06:43:44
| Not valid after:  2021-10-02T00:00:00
| MD5:   ed0e 973f ed2a 37d6 10ca 8df2 59ec 20dd
|_SHA-1: 257b 4d12 80a7 b937 069c 3e48 ba2b 983e 8529 7753
| ssl-enum-ciphers: 
|   SSLv3: 
|     ciphers: 
|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C
|     compressors: 
|       NULL
|     cipher preference: server
|     warnings: 
|       64-bit block cipher 3DES vulnerable to SWEET32 attack
|       Broken cipher RC4 is deprecated by RFC 7465
|       CBC-mode cipher in SSLv3 (CVE-2014-3566)
|       Ciphersuite uses MD5 for message integrity
|       Forward Secrecy not supported by any cipher
|       Weak certificate signature: SHA1
|   TLSv1.0: 
|     ciphers: 
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C
|     compressors: 
|       NULL
|     cipher preference: server
|     warnings: 
|       64-bit block cipher 3DES vulnerable to SWEET32 attack
|       Broken cipher RC4 is deprecated by RFC 7465
|       Ciphersuite uses MD5 for message integrity
|       Weak certificate signature: SHA1
|   TLSv1.1: 
|     ciphers: 
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C
|     compressors: 
|       NULL
|     cipher preference: server
|     warnings: 
|       64-bit block cipher 3DES vulnerable to SWEET32 attack
|       Broken cipher RC4 is deprecated by RFC 7465
|       Ciphersuite uses MD5 for message integrity
|       Weak certificate signature: SHA1
|   TLSv1.2: 
|     ciphers: 
|       TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C
|     compressors: 
|       NULL
|     cipher preference: server
|     warnings: 
|       64-bit block cipher 3DES vulnerable to SWEET32 attack
|       Broken cipher RC4 is deprecated by RFC 7465
|       Ciphersuite uses MD5 for message integrity
|       Weak certificate signature: SHA1
|_  least strength: C

MAC Address: 00:0C:29:24:49:51 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 2.47 seconds

********************************************************************************
結果:

支援AES_256

支援 SHA256

支援 rsa 2048

這是預設支援的,根據 SSDLC 的安全建議,有些建議關閉。

IIS Crypto Version 3.2 Build 16 - Released April 11, 2020
至少要 Windows Server 2008

另外也可用 SSL Labs 網站進行測試。

https://www.ssllabs.com/ssltest/

(完)

相關 

進階加密標準(英語:Advanced Encryption Standard,縮寫:AES) - 維基百科,自由的百科全書
https://zh.wikipedia.org/wiki/%E9%AB%98%E7%BA%A7%E5%8A%A0%E5%AF%86%E6%A0%87%E5%87%86

SHA家族 - 維基百科,自由的百科全書
https://zh.wikipedia.org/wiki/SHA%E5%AE%B6%E6%97%8F

RSA加密演算法 - 維基百科,自由的百科全書
https://zh.wikipedia.org/wiki/RSA%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95

 

[研究] Windows Server 2008 R2 + IIS + nmap 7.80 支援加密演算法最大長度金鑰 測試

[研究] Windows Server 2008 R2 + IIS + nmap 7.80 支援加密演算法最大長度金鑰 測試

2020-10-02

資通安全責任等級分級辦法 EN

附表十 資通系統防護基準.PDF
控制措施-構面:系統與通訊保護
控制措施-措施內容:傳輸之機密性與完整性
系統防護需求分級:(高等級系統)支援演算法最大長度金鑰。

環境
Windows Server 2008 with Service Pack 2 (x64)  + IIS + nmap 7.80 

測試
nmap --script ssl-cert,ssl-enum-ciphers -p 443 192.168.128.134

********************************************************************************

Starting Nmap 7.80 ( https://nmap.org ) at 2020-10-02 14:03 ¥x¥_?D·CRE?!
Nmap scan report for 192.168.128.134
Host is up (0.00s latency).

PORT    STATE SERVICE
443/tcp open  https
| ssl-cert: Subject: commonName=WIN-GVCGR4O3RNL
| Issuer: commonName=WIN-GVCGR4O3RNL
| Public Key type: rsa
| Public Key bits: 2048
| Signature Algorithm: sha1WithRSAEncryption
| Not valid before: 2020-10-02T06:02:54
| Not valid after:  2021-10-02T00:00:00
| MD5:   2230 547c 58dc 3d6d b55c a67a 79fb 4b5a
|_SHA-1: bafc 940f e74b 968b 392d ee3d 6001 16e5 eecb d93c
| ssl-enum-ciphers: 
|   SSLv3: 
|     ciphers: 
|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C
|     compressors: 
|       NULL
|     cipher preference: server
|     warnings: 
|       64-bit block cipher 3DES vulnerable to SWEET32 attack
|       Broken cipher RC4 is deprecated by RFC 7465
|       CBC-mode cipher in SSLv3 (CVE-2014-3566)
|       Ciphersuite uses MD5 for message integrity
|       Forward Secrecy not supported by any cipher
|       Weak certificate signature: SHA1
|   TLSv1.0: 
|     ciphers: 
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C
|     compressors: 
|       NULL
|     cipher preference: server
|     warnings: 
|       64-bit block cipher 3DES vulnerable to SWEET32 attack
|       Broken cipher RC4 is deprecated by RFC 7465
|       Ciphersuite uses MD5 for message integrity
|       Weak certificate signature: SHA1
|_  least strength: C
MAC Address: 00:0C:29:FC:BD:2E (VMware)

Nmap done: 1 IP address (1 host up) scanned in 2.32 seconds



********************************************************************************
結果:

支援AES_256

支援 SHA1

支援 rsa 2048

這是預設支援的,根據 SSDLC 的安全建議,有些建議關閉。

IIS Crypto Version 3.2 Build 16 - Released April 11, 2020
至少要 Windows Server 2008

另外也可用 SSL Labs 網站進行測試。

https://www.ssllabs.com/ssltest/

(完)

相關 

進階加密標準(英語:Advanced Encryption Standard,縮寫:AES) - 維基百科,自由的百科全書
https://zh.wikipedia.org/wiki/%E9%AB%98%E7%BA%A7%E5%8A%A0%E5%AF%86%E6%A0%87%E5%87%86

SHA家族 - 維基百科,自由的百科全書
https://zh.wikipedia.org/wiki/SHA%E5%AE%B6%E6%97%8F

RSA加密演算法 - 維基百科,自由的百科全書
https://zh.wikipedia.org/wiki/RSA%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95

 

[研究] Windows Server 2008 + IIS + nmap 7.80 支援加密演算法最大長度金鑰 測試

[研究] Windows Server 2008 + IIS + nmap 7.80 支援加密演算法最大長度金鑰 測試

2020-10-02

資通安全責任等級分級辦法 EN

附表十 資通系統防護基準.PDF
控制措施-構面:系統與通訊保護
控制措施-措施內容:傳輸之機密性與完整性
系統防護需求分級:(高等級系統)支援演算法最大長度金鑰。

環境
Windows Server 2008 with Service Pack 2 (x64)  + IIS + nmap 7.80 

測試
nmap --script ssl-cert,ssl-enum-ciphers -p 443 192.168.128.133

********************************************************************************

Starting Nmap 7.80 ( https://nmap.org ) at 2020-10-02 11:45 ¥x¥_?D·CRE?!
Nmap scan report for 192.168.128.133
Host is up (0.00013s latency).

PORT    STATE SERVICE
443/tcp open  https
| ssl-cert: Subject: commonName=WIN-P0WOV05PXAS
| Issuer: commonName=WIN-P0WOV05PXAS
| Public Key type: rsa
| Public Key bits: 2048
| Signature Algorithm: sha1WithRSAEncryption
| Not valid before: 2020-10-02T03:44:23
| Not valid after:  2021-10-02T00:00:00
| MD5:   121f 7e65 ad8a 5db5 d7aa ff2f 4a73 0c92
|_SHA-1: f0f8 9183 fc7c 3088 3e88 0976 29df 09aa 5f83 4e2a
| ssl-enum-ciphers: 
|   SSLv3: 
|     ciphers: 
|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C
|     compressors: 
|       NULL
|     cipher preference: server
|     warnings: 
|       64-bit block cipher 3DES vulnerable to SWEET32 attack
|       Broken cipher RC4 is deprecated by RFC 7465
|       CBC-mode cipher in SSLv3 (CVE-2014-3566)
|       Ciphersuite uses MD5 for message integrity
|       Forward Secrecy not supported by any cipher
|       Weak certificate signature: SHA1
|   TLSv1.0: 
|     ciphers: 
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C
|     compressors: 
|       NULL
|     cipher preference: server
|     warnings: 
|       64-bit block cipher 3DES vulnerable to SWEET32 attack
|       Broken cipher RC4 is deprecated by RFC 7465
|       Ciphersuite uses MD5 for message integrity
|       Weak certificate signature: SHA1
|_  least strength: C

MAC Address: 00:0C:29:F1:DE:EB (VMware)

Nmap done: 1 IP address (1 host up) scanned in 2.25 seconds


********************************************************************************
結果:

支援AES_256

支援 SHA1

支援 rsa 2048

這是預設支援的,根據 SSDLC 的安全建議,有些建議關閉。

IIS Crypto Version 3.2 Build 16 - Released April 11, 2020
至少要 Windows Server 2008

另外也可用 SSL Labs 網站進行測試。

https://www.ssllabs.com/ssltest/

(完)

相關 

進階加密標準(英語:Advanced Encryption Standard,縮寫:AES) - 維基百科,自由的百科全書
https://zh.wikipedia.org/wiki/%E9%AB%98%E7%BA%A7%E5%8A%A0%E5%AF%86%E6%A0%87%E5%87%86

SHA家族 - 維基百科,自由的百科全書
https://zh.wikipedia.org/wiki/SHA%E5%AE%B6%E6%97%8F

RSA加密演算法 - 維基百科,自由的百科全書
https://zh.wikipedia.org/wiki/RSA%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95

 

[研究] Windows Server 2003 R2 + IIS + nmap 7.80 支援加密演算法最大長度金鑰 測試

[研究] Windows Server 2003 R2 + IIS + nmap 7.80 支援加密演算法最大長度金鑰 測試

2020-10-02

[研究] Windows 2003 R2 安裝 IIS 和 HTTPS (SSL) 連線

資通安全責任等級分級辦法 EN

附表十 資通系統防護基準.PDF
控制措施-構面:系統與通訊保護
控制措施-措施內容:傳輸之機密性與完整性
系統防護需求分級:(高等級系統)支援演算法最大長度金鑰。

環境
 Windows Server 2003 R2 + IIS + IE6 + nmap 7.80

測試
nmap --script ssl-cert,ssl-enum-ciphers -p 443 192.168.128.129

********************************************************************************

Starting Nmap 7.80 ( https://nmap.org ) at 2020-10-02 11:17 ¥x¥_?D·CRE?!
Nmap scan report for 192.168.128.129
Host is up (0.00013s latency).

PORT    STATE SERVICE
443/tcp open  https
| ssl-cert: Subject: commonName=w2003r2/organizationName=o/stateOrProvinceName=\xE5\x8F\xB0\xE7\x81\xA3/countryName=TW
| Issuer: commonName=MyCA
| Public Key type: rsa
| Public Key bits: 1024
| Signature Algorithm: sha1WithRSAEncryption
| Not valid before: 2020-10-02T03:00:04
| Not valid after:  2021-10-02T03:10:04
| MD5:   d157 92ab 73e3 0505 eeb9 abfd 13c6 a755
|_SHA-1: 893f c4b6 bfe4 f038 db17 9b40 0b0e 5f36 6159 ee98
| ssl-enum-ciphers: 
|   SSLv3: 
|     ciphers: 
|       TLS_RSA_WITH_RC4_128_MD5 (rsa 1024) - D
|       TLS_RSA_WITH_RC4_128_SHA (rsa 1024) - D
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 1024) - D
|       TLS_RSA_WITH_DES_CBC_SHA (rsa 1024) - D
|       TLS_RSA_EXPORT1024_WITH_RC4_56_SHA - D
|       TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA - D
|       TLS_RSA_EXPORT_WITH_RC4_40_MD5 - E
|       TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5 - E
|     compressors: 
|       NULL
|     cipher preference: server
|     warnings: 
|       64-bit block cipher 3DES vulnerable to SWEET32 attack
|       64-bit block cipher DES vulnerable to SWEET32 attack
|       64-bit block cipher RC2 vulnerable to SWEET32 attack
|       Broken cipher RC4 is deprecated by RFC 7465
|       CBC-mode cipher in SSLv3 (CVE-2014-3566)
|       Ciphersuite uses MD5 for message integrity
|       Forward Secrecy not supported by any cipher
|       Weak certificate signature: SHA1
|   TLSv1.0: 
|     ciphers: 
|       TLS_RSA_WITH_RC4_128_MD5 (rsa 1024) - D
|       TLS_RSA_WITH_RC4_128_SHA (rsa 1024) - D
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 1024) - D
|       TLS_RSA_WITH_DES_CBC_SHA (rsa 1024) - D
|       TLS_RSA_EXPORT1024_WITH_RC4_56_SHA - D
|       TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA - D
|       TLS_RSA_EXPORT_WITH_RC4_40_MD5 - E
|       TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5 - E
|     compressors: 
|       NULL
|     cipher preference: server
|     warnings: 
|       64-bit block cipher 3DES vulnerable to SWEET32 attack
|       64-bit block cipher DES vulnerable to SWEET32 attack
|       64-bit block cipher RC2 vulnerable to SWEET32 attack
|       Broken cipher RC4 is deprecated by RFC 7465
|       Ciphersuite uses MD5 for message integrity
|       Forward Secrecy not supported by any cipher
|       Weak certificate signature: SHA1
|_  least strength: E

MAC Address: 00:0C:29:3A:5E:B9 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 2.02 seconds


********************************************************************************
結果:

支援 SHA1

支援 rsa 1024

這是預設支援的,根據 SSDLC 的安全建議,有些建議關閉。

IIS Crypto Version 3.2 Build 16 - Released April 11, 2020
至少要 Windows Server 2008

另外也可用 SSL Labs 網站進行測試。

https://www.ssllabs.com/ssltest/

(完)

相關 

進階加密標準(英語:Advanced Encryption Standard,縮寫:AES) - 維基百科,自由的百科全書
https://zh.wikipedia.org/wiki/%E9%AB%98%E7%BA%A7%E5%8A%A0%E5%AF%86%E6%A0%87%E5%87%86

SHA家族 - 維基百科,自由的百科全書
https://zh.wikipedia.org/wiki/SHA%E5%AE%B6%E6%97%8F

RSA加密演算法 - 維基百科,自由的百科全書
https://zh.wikipedia.org/wiki/RSA%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95

 

[研究] Windows Server 2019 + IIS + nmap 7.80 支援演算法最大長度金鑰 測試

[研究] Windows Server 2019 + IIS + nmap 7.80 支援加密演算法最大長度金鑰 測試

資通安全責任等級分級辦法 EN

附表十 資通系統防護基準.PDF
控制措施-構面:系統與通訊保護
控制措施-措施內容:傳輸之機密性與完整性
系統防護需求分級:(高等級系統)支援演算法最大長度金鑰。

環境
Windows Server 2019 + IIS + nmap 7.80

測試
nmap --script ssl-cert,ssl-enum-ciphers -p 443 192.168.128.128

********************************************************************************

Starting Nmap 7.80 ( https://nmap.org ) at 2020-10-02 08:52 ¥x¥_?D·CRE?!
Nmap scan report for 192.168.128.128
Host is up (0.00s latency).

PORT    STATE SERVICE
443/tcp open  https
| ssl-cert: Subject: commonName=WIN2019A
| Subject Alternative Name: DNS:WIN2019A
| Issuer: commonName=WIN2019A
| Public Key type: rsa
| Public Key bits: 2048
| Signature Algorithm: sha256WithRSAEncryption
| Not valid before: 2020-10-02T00:51:56
| Not valid after:  2021-10-02T00:00:00
| MD5:   883d e1ac 62ad f978 6abf 1144 5fe9 0ce2
|_SHA-1: a815 e8b5 8f66 cb24 6d2d 237b 8902 f8e1 1c79 5f45
| ssl-enum-ciphers: 
|   TLSv1.0: 
|     ciphers: 
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp384r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (ecdh_x25519) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
|     compressors: 
|       NULL
|     cipher preference: server
|     warnings: 
|       64-bit block cipher 3DES vulnerable to SWEET32 attack
|   TLSv1.1: 
|     ciphers: 
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp384r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (ecdh_x25519) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
|     compressors: 
|       NULL
|     cipher preference: server
|     warnings: 
|       64-bit block cipher 3DES vulnerable to SWEET32 attack
|   TLSv1.2: 
|     ciphers: 
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp384r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (ecdh_x25519) - A
|       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) - A
|       TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 2048) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp384r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (ecdh_x25519) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp384r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (ecdh_x25519) - A
|       TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
|     compressors: 
|       NULL
|     cipher preference: server
|     warnings: 
|       64-bit block cipher 3DES vulnerable to SWEET32 attack
|_  least strength: C
MAC Address: 00:0C:29:DB:2D:98 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 2.53 seconds

********************************************************************************
結果:

支援 AES_256

支援 SHA384,沒有 SHA512

支援 rsa 2048,沒有 rsa 4096

這是預設支援的,根據 SSDLC 的安全建議,有些建議關閉。

IIS Crypto Version 3.2 Build 16 - Released April 11, 2020

另外也可用 SSL Labs 網站進行測試。

https://www.ssllabs.com/ssltest/

(完)

相關 

進階加密標準(英語:Advanced Encryption Standard,縮寫:AES) - 維基百科,自由的百科全書
https://zh.wikipedia.org/wiki/%E9%AB%98%E7%BA%A7%E5%8A%A0%E5%AF%86%E6%A0%87%E5%87%86

SHA家族 - 維基百科,自由的百科全書
https://zh.wikipedia.org/wiki/SHA%E5%AE%B6%E6%97%8F

RSA加密演算法 - 維基百科,自由的百科全書
https://zh.wikipedia.org/wiki/RSA%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95