Da ich gerade damit zu kämpfen hatte 🙂
Vuln Text
SSL Server Supports DES Ciphers (Sweet32 Exposure)Vuln Desc.
DES and Triple-DES are known to be vulnerable to Birthday attacks. One particular attack, known as Sweet32, demonstrates how an attacker can obtain secret session information when attacking a TLS-secured HTTP session.
Aufgrund der Schwachstelle „Sweet32: Birthday attacks on 64-bit block ciphers in TLS and OpenVPN“ musste ich an einigen Server die RC4 und 3DES Ciphers deaktivieren. Nach anfänglichen Startschwierigkeiten war die Lösung dann doch schnell gefunden.
Es müssen folgende Registry Keys angepasst bzw. angelegt werden. In meinem Fall musste ich die 3DES Keys noch anlegen.
Für RC4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
„Enabled“=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
„Enabled“=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
„Enabled“=dword:00000000
Für 3DES
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\Triple DES 168]
„Enabled“=dword:00000000
Nach einem anschließendem Reboot sollte das Problem jetzt erledigt sein. Prüfen kann man seine Änderung ganz einfach mit dem Onlinescanner von SSL-Labs
Kommentar verfassen