禁⽤sslv3协议linux,SSLv3协议漏洞修复⽅法
SSL3.0被曝出存在协议漏洞:“通过此漏洞可以窃取客户端与server端使⽤SSLv3加密通信的明⽂内容,危害严重”,⽬前官⽅暂⽆升级修复补丁和攻击利⽤⽅式公布。
最佳建议:“禁⽌使⽤SSLv3协议”,
可先使⽤openssl客户端检测是否⽀持SSLv3:
openssl s_client -ssl3 -connect [host]:443
如果服务器不⽀持SSLv3会返回类似下⾯的信息:
SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:/xx/src/ssl/s3_pkt.c:1125:SSL alert number 40
SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:/xx/src/ssl/s3_pkt.c:546:
【Nginx、Apache、IIS禁⽤SSLv3⽅法】:
Nginx:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-
SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:RC4-SHA:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!DSS:!PKS;
ssl_session_timeout 5m;
ssl_session_cache builtin:1000 shared:SSL:10m;
Apache:
ssl协议全称SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-
SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:RC4-SHA:!aNULL:!MD5:!DSS
IIS:
进⾏⼿⼯修复,或者使⽤fix it向导进⾏修复。
修改完后,Linux重启Web服务即可,Windwos需要重新启动计算机。
原⽂链接:SSLv3协议漏洞修复⽅法,转载请注明来源!
分享到:

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。