Как исправить уязвимость сканирования Nessus «Обнаружение протокола TLS версии 1.0 и протокол TLS версии 1.1 устаревший» ⇐ JAVA

[Anonymous]

Мы запускаем наше Java-приложение на платформе ОС RHEL 8.5. В файле ssl.conf нашего Apache мы включили только протокол TLSv1.2. И мы не используем протоколы TLSv1 и TLSv1.1 в нашем приложении.
Из приведенной ниже информации подтверждается, что вышеуказанные протоколы отключены также с точки зрения ОС.

Код: Выделить всё

update-crypto-policies --show
DEFAULT

Из RHEL подтверждается, что «версии протоколов TLS TLS 1.0 и TLS 1.1 отключены на уровне общесистемной криптографической политики DEFAULT».
И из приведенных ниже результатов команды подтверждается, что TLS 1.0 и TLS 1.1 отключены на стороне приложения.

Код: Выделить всё

[root@test ~]# openssl s_client -connect :8443 -tls1
CONNECTED(00000003)
139679030896448:error:1409442E:SSL routines:ssl3_read_bytes:tlsv1 alert protocol version:ssl/record/rec_layer_s3.c:1544:SSL alert number 70
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 104 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol  : TLSv1
Cipher    : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1662128840
Timeout   : 7200 (sec)
Verify return code: 0 (ok)
Extended master secret: no
-----------------------------------------

[root@test ~]# nmap -sV --script ssl-enum-ciphers -p 8443 
Starting Nmap 7.70 ( https://nmap.org ) at 2022-09-20 20:02 IST
mass_dns: warning: Unable to open /etc/resolv.conf. Try using --system-dns or specify valid servers with --dns-servers
mass_dns: warning: Unable to determine any DNS servers. Reverse DNS is disabled. Try using --system-dns or specify valid servers with --dns-servers
Nmap scan report for XXXXX (IP_ADDRESS)
Host is up (0.00067s latency).

PORT     STATE SERVICE  VERSION
8443/tcp open  ssl/http Apache httpd
|_http-server-header: Apache
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: client
|_  least strength: A
MAC Address: 00:50:56:A7:92:7B (VMware)

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 12.90 seconds

-----------------------------------------

Конфигурации найдите в «ssl.conf»,

Код: Выделить всё

SSLProtocol -ALL +TLSv1.2
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:AES256-CCM:DHE-RSA-AES256-CCM

Но мы не понимаем, почему уязвимость сканирования Nessus показывает протоколы TLS 1.0 и TLS 1.1, хотя эти два протокола отключены во всех возможных случаях.
Подробности об уязвимости перечислены ниже,

• 104743 Обнаружение протокола TLS версии 1.0
• 157288 TLS Протокол версии 1.1 устарел.

От команды Nessus мы узнали, что порт 4567 использует приведенные ниже шифры:

Код: Выделить всё

TLS1_DHE_DSS_WITH_AES_128_CBC_SHA256
TLS1_DHE_DSS_WITH_AES_256_CBC_SHA256
TLS1_CK_DHE_DSS_WITH_AES_128_CBC_SHA
TLS1_CK_DHE_DSS_WITH_AES_256_CBC_SHA
TLS1_CK_DHE_DSS_WITH_3DES_EDE_CBC_SHA

В нашем приложении мы используем порт 4567 как TRUSTSTORE_PORT, где он загружает необходимые сертификаты для запуска приложения.
Но мы включили только протокол TLSv1.2. Как работают шифры TLS1?
Пожалуйста, дайте мне знать, как преодолеть эти уязвимости.
Заранее спасибо.

Подробнее здесь: https://stackoverflow.com/questions/737 ... tocol-depr