存在弱SSL协议(危险级别:中)

漏洞情况

服务器支持弱协议TLS1.0、TLS1.1、SSL2.0、SSL3.0。如下所示:

sslscan

漏洞危害

使用一个如TLSv1.0、TLS1.1、SSL2.0、SSL3.0的弱协议容易受到中间人攻击。这将允许攻击者读取和修改在一个安全的TLS连接数据,从而影响用户的安全和隐私。它的使用也将限制使用强大的密码套件,这些套件是有助于保护数据的完整性和保密性。

整改建议

在服务器上禁用支持TLSv1\SSLv2\SSLv3协议。NIST 800-52和PCI DSS V3.1强烈建议升级到最新的版本的TLS v1.2。或者,至少升级到TLS v1.1。

NGINX

在nginx.conf中进行设置

ssl_protocols TLSv1.1 TLSv1.2;

官方文档

http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_protocols

ssl_protocols

复现验证

  1. 通过Chrome,按F12,选择Security,可以查看到对应的安全连接设置。

  2. 或者通过nmap命令查看:

nmap -p 443 --script ssl-enum-ciphers www.example.com
  1. 还可以通过sslScan命令查看其它推荐的加密套件。
sslscan www.example.com
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容