Connectrix MDS serisi: SSL veya TLS sunucusu, Aktarım Katmanı Güvenliği TLS1.1'i destekler

Güvenli Yuva Katmanı (SSL) veya Aktarım Katmanı Güvenliği (TLS) Sunucusu, Aktarım Katmanı Güvenliğini (TLSv1.1) Destekliyor"

Threat: The scan target supports version 1.1 of the TLS protocol. That version is in the process of being deprecated and is no longer recommended. Instead the newer versions 1.2 and/or 1.3 should be used. The TLSv1.1 protocol itself does not have any currently exploitable vulnerabilities. However some vendor implementations of TLSv1.1 have weaknesses which may be exploitable. This QID is posted as potential, when servers require client certificates and we cannot complete the handshake.

Sonuç -ları: TLSv1.1 desteklenir.

Solution: Disable the use of TLSv1.1 protocol in favor of a cryptographically stronger protocol such as TLSv1.2.
The following openssl commands can be used to do a manual test: openssl s_client -connect ip:port -tls1_1
If the test is successful, then the target support TLSv1.1.

Anahtarın aşağıdaki komutundan çıktıyı alın:

`show file volatile:///nxapi.log`

HTTPS port is 8443
Options gathered - vdc: 1, servers: 4, http: -1, https: 8443,
cert: /var/nginx/cert/server.crt_vdc_1, key: /var/nginx/cert/server.key_vdc_1, sandbox: false, protocols: TLSv1.2, ciphers: false

Bu, anahtarda TLS 1.0 ve 1.1'in devre dışı bırakıldığı ve TLSv1.2'nin etkinleştirildiği anlamına gelir. Bu nedenle, güvenlik açığı yanlış pozitif olarak sonuçlanabilir.

Hâlâ TLSv1 ve TLSv1.1'i kabul ediyorsa kullanılan TLS sürümlerini manuel olarak yapılandırabilirsiniz:

switch(config)# nxapi ssl protocols TLSv1.2          <--To enable TLSv1.2

switch(config)# no nxapi ssl protocols TLSv1         <--To disable TLSv1-disabling TLSv1 removes TLS 1.0 and 1.1.