Nginx修复允许SSL采用中强度加密漏洞 建站网 默认分类 2019-08-29 首先,我们介绍一下“允许SSL采用中强度加密”这个漏洞:远程主机支持SSL使用的密码采用中强度解密,即使用的KEY解密长度至少56位,但少于112位。如果攻击者在同一个物理网段,密码很容易暴露。 加固建议:避免使用中强度加密,改为强度较高的加密算法。 漏洞扫描信息: ``` Here is the list of medium strength SSL ciphers supported by the remote server : Medium Strength Ciphers (> 64-bit and < 112-bit key, or 3DES) ECDHE-RSA-DES-CBC3-SHA Kx=ECDH Au=RSA Enc=3DES-CBC(168) Mac=SHA1 The fields above are : {OpenSSL ciphername} Kx={key exchange} Au={authentication} Enc={symmetric encryption method} Mac={message authentication code} {export flag} ``` <!--more--> 漏洞扫描信息显示,密钥长度少于112位或使用了**3DES**算法,就会被检测出中强度加密漏洞。因此,禁用3DES加密算法并使用长度大于等于112位的密钥,可以修复漏洞。 漏洞修复方法:检查Nginx的ssl_ciphers指令,去掉中强度的加密算法,如**3DES**等。**3DES**是RC4的替代算法,安全性更好,在一些低端浏览器有着姣好的兼容性。但随着网络安全技术的发展,也不推荐使用**3DES**算法,因为**3DES**和RC4都是对称加密算法,应该使用符合高强度加密的密码算法。 附上Nginx的ciphers配置参考 ``` ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256::!MD5; ``` 或 ``` ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256; ``` 本文由 建站网 撰写创作,遵循CC 4.0 by-sa版权协议,转载请附上原文出处链接及本声明。
