Un informe VA / PT muestra lo siguiente para mi PKI:
El servicio SSL permite el uso de uno o más cifrados anónimos, que un atacante puede aprovechar a través de un hombre en el ataque central. Los cifrados anónimos deben estar desactivados.
¿Qué significa y cómo lo mitigo?
Ya que tu pregunta es muy vaga, solo puedo adivinar.
Cifrado anónimo significa que el intercambio de claves se realiza sin ninguna toma de autenticación, lo que significa que el certificado (servidor) no se utiliza en el proceso. Pero sin ninguna autenticación, el intercambio de claves DH puede ser fácilmente atacado por un MitM.
Para mitigar esto, tienes que reconfigurar el software de tu servidor, sea lo que sea. Busque el ajuste de configuración donde puede ingresar los conjuntos de cifrado permitidos. Si solo desea deshacerse de los cipers anónimos, solo debe rechazar el mecanismo DH_ANON . Preferiblemente sería, poner en una lista blanca de conjuntos de cifrado aceptables.
Una buena guía para la configuración específica del popular software de servidor más una lista de conjuntos de cifrado aceptables es proporcionada por gente amigable de bettercrypto
Lea otras preguntas en las etiquetas public-key-infrastructure tls