如何在 SSL 中禁用弱密码？

Question

我们在系统扫描期间遇到了弱密码漏洞，为了解决这个问题，我在openssl.conf 的字符串中否定了它们，但我仍然可以使用这些密码连接本地主机，例如“RC4”。

此漏洞在网络服务器中的帖子 3128 和 8443 上报告。

ssl.conf 输出：

#SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4:!DES:!3DES

我仍然能够使用 RC4 密码连接到本地主机。

[XXXXXXXXXX ~]$ openssl s_client -cipher 'RC4' -connect 127.0.0.1:3128
CONNECTED(00000003)

这是正确的测试方法，还是我做错了什么？

openssl.conf 中的此更改会在下次扫描期间消除此弱密码问题吗？

Answer 1

每the Apache SSLCipherSuite documentation（我的粗体字）：

此复杂指令使用冒号分隔的密码规范字符串 由用于配置密码的 OpenSSL 密码规范组成 套件允许客户端在 SSL 握手阶段进行协商。 请注意，该指令可以在每个服务器和每个目录上下文中使用。 ...

如果没有发布您的整个 ssl.conf 文件，就不可能知道发生了什么。

但我认为无论如何解决您的问题是在 Web 服务器上可靠配置 SSL 的最简单方法：直接从 Mozilla SSL Configuration Generator 获取您的 ssl.conf 值。它简单、可重复且有据可查。

输入您系统的特定软件版本和所需的安全级别，您将获得一组配置设置并放入您的配置文件中。

该网站及其使用情况在Mozilla's Security/Server Side TLS page 有完整记录：

本文档的目标是帮助运营团队 在服务器上配置 TLS。所有 Mozilla 站点和部署 应遵循以下建议。

运营安全 (OpSec) 团队将此文档作为 浏览 TLS 环境的参考指南。它包含信息 关于 TLS 协议、已知问题和漏洞、配置 示例和测试工具。更改由审核并合并 OpSec 团队，并向各个运营团队广播。

...

Recommended configurations

推荐三种配置。选择正确的配置 取决于你的听众。如果您不需要向后兼容， 并且正在为现代客户构建服务（发布 Firefox 27/Chrome 22)，然后使用现代配置。否则，更喜欢 中间配置。使用旧的向后兼容 仅当您的服务将由非常旧的访问时才配置 客户端，例如 Windows XP IE6，或古老的库和机器人。

...