我们在系统扫描期间遇到了较弱的密码漏洞,为了解决这个问题,我在openssl.conf的字符串中对它们进行了否定,但我仍然能够使用这些密码连接本地主机,例如: “RC4”。
此漏洞在网络服务器的3128和8443上报告。
ssl.conf输出:
#SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4:!DES:!3DES
我仍然可以使用RC4密码连接到本地主机。
[XXXXXXXXXX ~]$ openssl s_client -cipher 'RC4' -connect 127.0.0.1:3128
CONNECTED(00000003)
这是测试的正确方法,还是我做错了什么?
openssl.conf中的此更改是否会在下次扫描期间删除此弱密码问题?
答案 0 :(得分:0)
Per the Apache SSLCipherSuite documentation(bolding mine):
此复杂指令使用冒号分隔的密码规范字符串 由OpenSSL密码规范组成,用于配置密码 客户端允许在SSL握手阶段进行协商。 请注意,此指令可以在每个服务器和每个目录的上下文中使用。 ...
如果没有发布您的整个ssl.conf文件,就无法知道发生了什么。
但我认为在任何情况下问题的答案都是在Web服务器上可靠配置SSL的最简单方法:直接从Mozilla SSL Configuration Generator获取ssl.conf值。它简单,可重复,并且记录完备。
输入系统的特定软件版本和所需的安全级别,您将获得一组配置设置以放置在配置文件中。
该网站及其使用情况已在Mozilla's Security/Server Side TLS page完整记录:
本文档的目标是帮助运营团队 在服务器上配置TLS。所有Mozilla站点和部署 应遵循以下建议。
Operations Security(OpSec)团队将此文档维护为 导航TLS格局的参考指南。它包含信息 关于TLS协议,已知问题和漏洞,配置 示例和测试工具。变更由审核并合并 OpSec团队,并向各个运营团队广播。
...
建议使用三种配置。选择正确的配置 取决于您的受众。如果您不需要向后兼容, 并且正在为现代客户构建服务(发布Firefox 27 / Chrome 22),然后使用Modern配置。否则,更喜欢 中级配置。使用旧向后兼容 只有当您的服务很老时才能访问配置 客户端,如Windows XP IE6,或古代库和机器人。
...