漏洞情况
服务器支持弱协议TLS1.0、TLS1.1、SSL2.0、SSL3.0。如下所示:
sslscan
漏洞危害
使用一个如TLSv1.0、TLS1.1、SSL2.0、SSL3.0的弱协议容易受到中间人攻击。这将允许攻击者读取和修改在一个安全的TLS连接数据,从而影响用户的安全和隐私。它的使用也将限制使用强大的密码套件,这些套件是有助于保护数据的完整性和保密性。
整改建议
在服务器上禁用支持TLSv1\SSLv2\SSLv3协议。NIST 800-52和PCI DSS V3.1强烈建议升级到最新的版本的TLS v1.2。或者,至少升级到TLS v1.1。
NGINX
在nginx.conf中进行设置
ssl_protocols TLSv1.1 TLSv1.2;
官方文档
http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_protocols
ssl_protocols
复现验证
通过Chrome,按F12,选择Security,可以查看到对应的安全连接设置。
或者通过
nmap命令查看:
nmap -p 443 --script ssl-enum-ciphers www.example.com
- 还可以通过
sslScan命令查看其它推荐的加密套件。
sslscan www.example.com
