1、SSL证书不可信, 无法信任服务器的X.509证书。这种情况可能以三种不同的方式出现,在这种情况下,信任链可能会断开,如下所述:-首先,服务器发送的证书链的顶部可能不是已知的公共证书颁发机构的后代。如果链的顶部是无法识别的自签名证书,或者缺少将证书链的顶部连接到已知公共证书颁发机构的中间证书,则可能会发生这种情况。-其次,证书链可能包含扫描时无效的证书。当扫描发生在证书的"notBefore"日期之一之前或证书的"notAfter"日期之一之后时,可能会发生这种情况。-第三,证书链可能包含与证书信 不匹配或无法验证的签名。错误的签名可以通过使具有错误签名的证书由其颁发者重新签名来修复。无法验证的签名是证书颁发者使用Nessus不支持或不识别的签名算法的结果。如果远程主机是生产中的公共主机,则链中的任何中断都会增加用户验证web服务器的真实性和身份 难度。这样可以更容易地对远程主机执行中间人攻击。 2、SSL自签名证书 此服务的X.509证书链未由认可的证书颁发机构签名。如果远程主机是生产中的公共主机,这将取消SSL的使用,因为任何人都可以对远程主机建立中间人攻击。请注意,此插件不检查以非自签名证书结尾但由无法识别的证书颁发机构签名的证书链。 3、TLS 1.1版本已丢用协议 远程服务接受使用TLS 1.1加密的连接。TLS 1.1不支持当前和推荐的密码套件。支持 MAC计算前加密和GCM等身份验证加密模式的密码不能与TLS 1.1一起使用。截至2020年3月31日,未启用TLS 1.2及更高版本的端点将无法在主要网络浏览器和主要供应商中正常运行。
防火墙三类 SSL/TLS 漏洞完整成因 + 华三 SecPath 防火墙整改方案
一、三类漏洞风险总结
漏洞 1+2:SSL 自签名证书 / 证书不可信
风险原理
设备出厂默认自签名证书,无公共 CA 根证书链,浏览器 / 扫描器无法信任,中间人攻击风险极高;
不可信分三类场景:
根证书为自签、缺失中间 CA 证书,信任链断裂;
证书过期 / 未到生效时间;
签名算法老旧(SHA1)、签名校验失败。
整改目标:替换为公有可信 CA 证书(阿里云 / 腾讯云 / Let’s Encrypt)或企业内网 CA 完整证书链
漏洞 3:TLS1.1 废弃协议
风险原理
TLS1.1 2020 年已主流浏览器淘汰,不支持 GCM 加密套件,存在 BEAST、CRIME 等中间人、数据窃听漏洞;合规要求仅保留 TLS1.2、TLS1.3,必须禁用 SSLv3/TLS1.0/TLS1.1。
二、分模块完整整改配置(H3C SecPath Comware V7/V9 通用)
模块 1:替换可信 CA 证书(消除自签名、证书不可信漏洞)
前置准备
从 CA 机构申请证书,导出文件:
服务器证书 + 私钥 .pfx(带密码);
完整证书链:根 CA 证书、中间 CA 证书(cer/der 格式)。
步骤 1:上传证书文件到防火墙 Flash
通过 Web 管理或 FTP 上传 server.pfx、ca.cer。
步骤 2:创建 PKI 域,导入完整证书链
bash
运行
system-view
# 创建PKI域
pki domain ssl-ca
undo crl check enable # 关闭CRL吊销校验(内网无CRL服务器时)
quit
# 导入根/中间CA证书
pki import domain ssl-ca der ca filename ca.cer
# 导入服务器证书+私钥(输入pfx密码)
pki import domain ssl-ca p12 local filename server.pfx
步骤 3:创建 SSL 服务策略,绑定可信证书域
bash
运行
# 创建SSL服务器策略
ssl server-policy safe-ssl
pki-domain ssl-ca
# 全局禁用不安全协议(同步修复TLS1.1漏洞)
ssl version ssl3.0 tls1.0 tls1.1 disable
# 仅保留TLS1.2、TLS1.3协商
undo ssl version tls1.2 disable
undo ssl version tls1.3 disable
# 配置安全加密套件(仅ECDHE前向保密GCM套件)
cipher-suite ecdhe-rsa-aes128-gcm-sha256 ecdhe-rsa-aes256-gcm-sha384
quit
步骤 4:防火墙 HTTPS 管理界面引用安全 SSL 策略
bash
运行
# 重启HTTPS服务加载新证书策略
undo ip https enable
ip https ssl-server-policy safe-ssl
ip https enable
Web新建PKI域
导入CA/本地证书
补充内网无公网 CA 临时方案(仅内网使用,过外部扫描无效)
企业内网搭建 Windows AD CA,生成内网完整证书链导入防火墙,仅内网终端导入根证书可消除告警;公网对外业务必须使用公有可信 CA 证书。
模块 2:彻底禁用 TLS1.1(废弃协议漏洞根治)
全局强制禁用弱协议(整机所有 SSL 服务生效)
bash
运行
system-view
# 一次性关闭SSL3.0、TLS1.0、TLS1.1,仅放行1.2/1.3
ssl version ssl3.0 tls1.0 tls1.1 disable
单独 SSL 策略精细化管控(VPN/HTTPS/Portal 分别绑定)
每个 ssl server-policy 内重复配置禁用弱协议,避免全局配置失效:
bash
运行
ssl server-policy safe-ssl
ssl version ssl3.0 tls1.0 tls1.1 disable
cipher-suite ecdhe-rsa-aes-gcm-sha*
验证 TLS 版本是否禁用
bash
运行
# 查看SSL全局版本配置
display current-configuration | include ssl version
# 查看SSL策略详情
display ssl server-policy safe-ssl
使用 OpenSSL 验证:
bash
运行
# TLS1.1应提示握手失败
openssl s_client -connect 防火墙IP:443 -tls1_1
# TLS1.2/1.3正常握手
openssl s_client -connect 防火墙IP:443 -tls1_2
模块 3:配套加固(规避证书签名 / 算法漏洞)
禁用 SHA1 老旧签名算法
申请证书时强制使用 SHA256 签名;SSL 策略只启用 GCM 加密套件,关闭 CBC 弱套件。
时间同步防止证书过期校验失败
配置 NTP 服务器,设备系统时间与证书有效期匹配:
bash
运行
ntp server 时间服务器IP
清理过期自签名默认证书
bash
运行
display pki local-certificate
undo pki local-certificate default
三、特殊场景:防火墙 SSL VPN/Portal 认证同步整改
SSL VPN 网关引用同一安全 ssl server-policy;
Web Portal 认证页面同样绑定safe-ssl策略,统一使用可信证书 + TLS1.2+;
bash
运行
portal web-server portal1
ssl-server-policy safe-ssl
四、漏洞复测判断标准
自签名 / 证书不可信漏洞消失
扫描器识别完整公有 CA 信任链,无证书链中断、签名校验失败告警;
TLS1.1 废弃协议漏洞消失
扫描 ssl-enum-ciphers 仅返回 TLS1.2/TLS1.3,无 TLSv1.1 协商记录;
无弱加密套件、SHA1 签名、RSA 静态密钥交换告警。
五、常见踩坑点
仅上传服务器证书,缺失中间 CA 证书:信任链断裂,扫描依旧报证书不可信;
只全局关闭 TLS1.1,SSL 策略内未重复配置,VPN/Portal 仍可协商 TLS1.1;
证书 PFX 私钥密码错误、文件损坏,导入失败继续使用旧自签证书;
设备系统时间偏差过大,误判证书过期,触发证书无效告警。
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论