nginx修复方法修改/etc/nginx/conf.d/ssl.conf文件
找到ssl_ciphers行:
ssl_ciphers HIGH:!aNULL:!MD5:!DES:!3DES;
然后重载服务器配置:service nginx restart
如果是apache 的话
修改 /usr/local/apache2.4.39/conf/httpd.conf
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:+HIGH:+MEDIUM:-LOW:!RC4:!NULL
LoadModule ssl_module modules/mod_ssl.so
我这边是haproxy开启的https后面转向apache的
根据漏洞号码,查一下那个有风险,去掉就行了,我这边是去掉的3des,然后重置了haproxy服务
vim /etc/haproxy/haproxy.cfg
global
ssl-default-bind-options no-sslv3
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
systemctl reload haproxy.service
SSL Medium Strength Cipher Suites Supported (SWEET32) 支持SSL中等强度密码套件(SWEET32)中危漏洞漏洞描述远程主机支持使用提供中等强度加密的SSL密码Nessus将中等强度视为使用至少64位且小于112位的密钥长度的任何加密,否则使用3DES加密套件。一整改建议nginx修复方法修改/etc/nginx/conf.d/ssl.conf文件找到ssl_ciphers行:ssl_ciphers HIGH:!aN
cipher
suite.info-TLS
密码
套件
的目录
这是什么项目
IETF定义的每个
密码
套件
的目录。 每个
密码
套件
都细分为包含其的算法,然后分别评估其安全性。 根据已知
漏洞
的严重性生成不同的警告。
该项目针对谁?
该项目旨在成为有关TLS
密码
套件
安全性的一般参考。 就是说,对于安全专家和具有加密知识的开发人员以及非专家来说,对于寻求某种算法是否足够安全的清晰表述,这都应该成为一种资源。
数据从哪里来?
所有
密码
套件
及其定义的RFC都会自动从。 在可能的情况下,对加密算法的评估是基于IETF或其他组织的官方通知。 由于某些技术的安全性可能会根据特定的使用情况而有所不同,因此这并不总是明确的。 在这些情况下,会针对该技术可以使用的目的,或者本网站的作者是否认为此技术不安全提出建议。
漏洞
描述
支持
SSL
中等
强度
密码
套件
(
SWEET32
),远程主机
支持
使用提供
中等
强度
加密的
SSL
密码
。Nessus将
中等
强度
视为使用至少64位且小于112位的密钥长度的任何加密,否则使用3DES加密
套件
。
问题为
nginx
配置文件中算法较弱的问题,修改一下加密算法即可。
修改
nginx
/conf.d/xxx.conf文件
找到
ssl
_
cipher
s,更改为以下算法
ssl
_
cipher
s HIGH:!aNULL:!MD5:!DES:!3DES;
修改完成后,重启
nginx
刷新配置即可。
#
cipher
suite-name-converter
一个简单的CLI(可能还有Web)库/脚本(可在任一方向之间)在open
SSL
和
SSL
/ TLS
密码
套件
名称之间进行转换。
例如,对于(伪造的)示例,您可能有一个标准的
SSL
/ TLS
密码
套件
字符串被提供给您:
SSL
_ECDHE_RSA_WITH_AES_128_GCM_SHA256
SSL
_ECDHE_RSA_WITH_AES_256_GCM_SHA384
SSL
_ECDHE_RSA_WITH_AES_128_CBC_SHA256
SSL
_ECDHE_RSA_WITH_AES_128_CBC_SHA
SSL
_ECDHE_RSA_WITH_AES_256_CBC_SHA384
SSL
_ECDHE_RSA_WITH_AES_256_CBC_SHA
您想要在需要open
ssl
格式
密码
套件
字符串的应用程序中使用的字符串(对我来
密码
扫描
Cipher
scan针对所有主要版本的
SSL
和TLS测试给定目标上
SSL
/ TLS
密码
的顺序。 它还提取一些证书信息,TLS选项,OCSP装订等等。
Cipher
scan是open
ssl
s_client命令行上方的包装器。
Cipher
scan可以在所有版本的unix上运行。 它附带了自己的适用于Linux / 64和Darwin / 64的Open
SSL
构建。 在其他平台上,它将使用操作系统提供的open
ssl
版本(可能
支持
有限的
密码
),或使用-o命令行标志中提供的您自己的版本。
基本测试:
$ ./
cipher
scan google.com
...................
Target: google.com:443
prio
cipher
suite protocols pfs
SSL
扫描
SSL
Scan 查询
SSL
服务,例如 HTTPS,以确定
支持
的
密码
。
SSL
Scan 旨在简单、精简和快速。 输出包括
SSL
服务的首选
密码
、证书以及文本和 XML 格式。
查询
SSL
服务
支持
的加密协议:
SSL
v2、
SSL
v3、TLS 1.0、TLS 1.1 和 TLS 1.2(取决于使用的 Open
SSL
库)
对 FTP、IMAP、POP3、SMTP 和 XMPP 的
ST
ARTTLS
支持
执行 HTTP 连接
IPv4 和 IPv6
绑定到本地IP地址
Python 扩展
文本和 XML 输出
Open
SSL
1.0.0 或更高版本
海湾合作委员会
open
ssl
-devel
python-devel(2.6、2.7、3.2 或 3.3 - Python 3.x 首选)
生成文件构建:
mkdir build
1. 使用 open
ssl
工具连接目标服务器,并尝试建立
SSL
/TLS 连接,例如:
open
ssl
s_client -connect example.com:443
如果连接成功,则表示服务器
支持
SSL
/TLS 协议。
2. 通过
SSL
/TLS 握手过程获取服务器
支持
的协议版本和加密
套件
信息,例如:
open
ssl
s_client -connect example.com:443 -tls1_2 -
cipher
ECDHE-RSA-AES256-GCM-SHA384
上述命令中,`-tls1_2` 表示使用 TLS 1.2 协议连接,`-
cipher
ECDHE-RSA-AES256-GCM-SHA384` 表示使用 ECDHE-RSA-AES256-GCM-SHA384 加密
套件
连接。如果连接成功,则表示服务器
支持
相应的协议版本和加密
套件
。
要确认服务器
支持
的版本和加密
套件
是否与客户端兼容,可以参考
SSL
/TLS 协议的
支持
矩阵,或者使用
SSL
/TLS 测试工具,例如 Qualys
SSL
Labs 的
SSL
Server Te
st
。这些工具可以测试服务器的
SSL
/TLS 配置,并给出相应的评估报告,包括
支持
的协议版本和加密
套件
,以及安全性评估等信息。根据评估报告,可以判断服务器的配置是否与客户端兼容。
