SSL Certificate Signed Using Weak Hashing Algorithm-WS-C2960-24TT-L

VergilJin · ‎11-09-2023

我們公司的C2960系列交換機(型號WS-C2960-24TT-L、WS-C2960+24TC-L)近期在使用Nessus弱點掃描時發現有以下兩個High弱點，大致指向的是SHA-1的加密證書導致的弱點。

SW Version為15.0(2)SE11和15.2(2)E7，請問要如何解決以下两个弱點，是否需要升級交換機ISO到哪個版本，有嘗試將交換機自帶的證書刪除，但重新掃描還是會有弱點。

報錯信息：

1. SSL Certificate Signed Using Weak Hashing Algorithm

Signature Algorithm : SHA-1 With RSA Encryption

2. SSL Medium Strength Cipher Suites Supported (SWEET32)

Name                          Code             KEX           Auth     Encryption             MAC
    ----------------------        ----------       ---           ----     --------------------- ---
    DES-CBC3-SHA                  0x00, 0x0A       RSA           RSA      3DES-CBC(168)          SHA1

VergilJin · ‎11-12-2023

問題已解決，若不需要使用網頁去管理配置交換機，則將running config中的ip http server和ip http secure-server 禁用掉，重新掃描即無弱點，該弱點目前就發現在型號較舊的2960交換機上。

SW#config t

SW(config)#do show run | inc ip http

SW(config)#no ip http server

SW(config)#no ip http secure-server

SW(config)#exit

SW# wr

Weibin.Li · ‎11-28-2023

你可以再次扫描观察下，正常版本是要升级的需要升级到15.2(7)E8版本才可以完全解决