在debian服务器上的nginx中启用SSLv3

时间:2017-11-20 14:40:53

标签: ssl nginx https sslv3

关于HTTPS弱点的一些演示,我想在我的网络服务器的一个子域上启用SSLv3。我在debian 8上使用nginx 1.12.2,并且已经尝试添加以下行

ssl_protocols SSLv2 SSLv3 TLSv1 TLSv1.1 TLSv1.2;

然后sudo服务nginx重启,但ssllabs仍然显示SSL已禁用(使用clear-cache选项)。

显然我的openssl版本支持SSLv3(openssl ciphers -v),所以我不明白为什么没有启用SSLv3。

谢谢!

2 个答案:

答案 0 :(得分:2)

尝试使用此命令与SSLLabs结果进行比较:

.py

如果握手没问题,您可能需要在NGINX配置中配置cipers。

答案 1 :(得分:1)

在新版本的openssl中,配置以排他方式进行。您可以使用此命令测试SSLv3协议

 openssl s_client -connect youserver:443 -no_tls1_2 -no_tls1_1 -no_tls1

但是确保SSL / TLS的理想版本在远程服务器上正常运行的最佳方法是使用NMAP:

nmap -sV --script ssl-enum-ciphers -p 443 youserver

Nmap输出将为您指明正确的方向,因为它描述了版本工作协议和所有可用密码。 

PORT    STATE SERVICE   VERSION
443/tcp open  ssl/https nginx
|_http-server-header: nginx
| ssl-enum-ciphers:
|   TLSv1.0:
|     ciphers:
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 1024) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: client
|     warnings:
|       Key exchange (dh 1024) of lower strength than certificate key
|   TLSv1.1:
|     ciphers:
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 1024) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: client
|     warnings:
|       Key exchange (dh 1024) of lower strength than certificate key
|   TLSv1.2:
|     ciphers:
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 1024) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: client
|     warnings:
|       Key exchange (dh 1024) of lower strength than certificate key
|_  least strength: A

希望有帮助

相关问题
最新问题