在 debian 服务器上的 nginx 中启用 SSLv3

【问题标题】:Enable SSLv3 in nginx on debian server在 debian 服务器上的 nginx 中启用 SSLv3
【发布时间】:2018-05-03 19:45:00
【问题描述】:

对于 HTTPS 弱点的一些演示,我想在我的网络服务器的一个子域上启用 SSLv3。我在 debian 8 上使用 nginx 1.12.2,并且已经尝试添加以下行

ssl_protocols SSLv2 SSLv3 TLSv1 TLSv1.1 TLSv1.2;

然后 sudo 服务 nginx 重新启动,但 ssllabs 仍然显示 SSL 已禁用(使用 clear-cache 选项)。

显然我的openssl版本支持SSLv3(openssl ciphers -v),所以我不明白为什么没有启用SSLv3。

谢谢!

【问题讨论】:

  • 您为密码套件添加了什么?
  • openssl ciphers -v 只显示密码支持而不是协议支持。密码中的 SSLv3 信息仅显示此密码是为以 SSLv3 开头的协议定义的,而不是您的 openssl 支持 SSLv3。

标签: ssl nginx https sslv3


【解决方案1】:

尝试使用此命令与 SSLLabs 结果进行比较:

openssl s_client -ssl3 -connect youserver:443

如果握手正常,您可能需要在 NGINX 配置中配置 cipers。

【讨论】:

  • 我得到“未知选项 -ssl3”
  • @mae 您正在使用最新版本的 openssl 或至少一个不够旧的版本。我没有找到确切的 SSL3 支持何时被删除,并且似乎并不明显,因为其他人也找不到这个,请参阅comments here。我从测试中了解到,在 1.0.2k 版本中,此选项仍然可用。
【解决方案2】:

使用新版本的 openssl,配置以排除方式进行。您可以使用此命令测试 SSLv3 协议

 openssl s_client -connect youserver:443 -no_tls1_2 -no_tls1_1 -no_tls1

但确保 SSL/TLS 的 wich 版本在远程服务器上运行的最佳方法是使用 NMAP:

nmap -sV --script ssl-enum-ciphers -p 443 youserver

Nmap 输出将为您指明正确的方向,因为它描述了版本工作协议和每个可用的密码。 

PORT    STATE SERVICE   VERSION
443/tcp open  ssl/https nginx
|_http-server-header: nginx
| ssl-enum-ciphers:
|   TLSv1.0:
|     ciphers:
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 1024) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: client
|     warnings:
|       Key exchange (dh 1024) of lower strength than certificate key
|   TLSv1.1:
|     ciphers:
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 1024) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: client
|     warnings:
|       Key exchange (dh 1024) of lower strength than certificate key
|   TLSv1.2:
|     ciphers:
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 1024) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: client
|     warnings:
|       Key exchange (dh 1024) of lower strength than certificate key
|_  least strength: A

希望有帮助

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2018-06-18
    • 1970-01-01
    • 2015-10-15
    • 1970-01-01
    • 1970-01-01
    • 2016-08-28
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode