nginx 修复TLS1.0,TLS1.1协议漏洞

最新推荐文章于 2023-02-07 15:21:55 发布
最新推荐文章于 2023-02-07 15:21:55 发布
阅读量4.7k 收藏 2
点赞数
分类专栏: Nginx 文章标签: nginx TLS1.0 TLS1.1 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/antma/article/details/118630749
版权

序号漏洞名称加固建议
1TLS版本1.0协议检测启用对TLS 1.2或1.3的支持,并禁用对TLS 1.0的支持
2TLS版本1.1协议检测启用对TLS 1.2或1.3的支持,并禁用对TLS 1.1的支持

漏洞检测:

root@antma:~# nmap --script ssl-enum-ciphers -p 443 192.168.1.8
Starting Nmap 7.80 ( https://nmap.org ) at 2021-07-10 09:01 CST
Nmap scan report for 192.168.1.8
Host is up (0.021s latency).

PORT    STATE SERVICE
443/tcp open  https
| ssl-enum-ciphers: 
|   TLSv1.0: 
|     ciphers: 
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|     compressors: 
|       NULL
|     cipher preference: indeterminate
|     cipher preference error: Too few ciphers supported
|   TLSv1.1: 
|     ciphers: 
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|     compressors: 
|       NULL
|     cipher preference: indeterminate
|     cipher preference error: Too few ciphers supported
|   TLSv1.2: 
|     ciphers: 
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|     compressors: 
|       NULL
|     cipher preference: server
|_  least strength: A

Nmap done: 1 IP address (1 host up) scanned in 5.84 seconds
root@antma:~#

漏洞修复:

# 原始配置
#ssl_protocols TLSv1 TLSv1.1 TLSv1.2 ;
# 修复配置
ssl_protocols TLSv1.2 ;

完整配置:

# HTTPS server
    #
    server {
        listen       443 ssl;
        server_name  192.168.1.8;
        keepalive_timeout  70;

        ssl_certificate      cert/mycert.pem;
        ssl_certificate_key  cert/privatekey.pem;
        
        #ssl_certificate      cert/server.crt;
        #ssl_certificate_key  cert/server_rsa_private.pem.unsecure;

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;

		#ssl_protocols TLSv1 TLSv1.1 TLSv1.2 ;
		ssl_protocols TLSv1.2 ;
        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;

        location / {
            root   html;
            index  index.html index.htm;
        }
        
		# 映射服务器集群
		location /test/{
			proxy_set_header  X-Real-IP        $remote_addr;
			proxy_pass http://test;
		}
        location /status{
            stub_status on;
        }
    }

漏洞复测:

root@antma:~# nmap --script ssl-enum-ciphers -p 443 192.168.1.8
Starting Nmap 7.80 ( https://nmap.org ) at 2021-07-10 09:11 CST
Nmap scan report for 192.168.1.8
Host is up (0.013s latency).

PORT    STATE SERVICE
443/tcp open  https
| ssl-enum-ciphers: 
|   TLSv1.2: 
|     ciphers: 
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|     compressors: 
|       NULL
|     cipher preference: server
|_  least strength: A

Nmap done: 1 IP address (1 host up) scanned in 9.36 seconds
root@antma:~#

参考: https://www.macs.vip/archives/221

程序员老油条
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【中危】启用了不安全TLS1.0TLS1.1协议
天泽岁月
08-13 4万+
TLS1.0协议漏洞检测复现
漏洞修复启用了不安全TLS1.0TLS1.1协议
最新发布
heike_Ch的博客
05-09 914
default_server中才能生效,且其他server块都会读取default_server中的配置。TLS 1.0TLS1.1协议使用了脆弱的加密算法,存在重大安全漏洞,容易受到降级攻击的严重影响。表示启用TLSv1.2 TLSv1.3 禁用其他TLS协议,注意此配置只能配置在http块或者。启用对TLS 1.2或1.3的支持,并禁用对TLS 1.0TLS 1.1的支持。nginx修改配置文件。出现下图则表示禁用成功。出现下图则表示禁用失败。
nginx禁用3DES和DES弱加密算法,保证SSL证书安全
Cookie_1030的专栏
07-05 7421
nginx禁用3DES和DES弱加密算法,保证SSL证书安全
安全TLSv1.0协议漏洞
qq_43893277的博客
07-08 8431
安全TLSv1.0协议漏洞
安全TLS协议漏洞修复
SmallBull的博客
02-07 3808
TLS安全漏洞
Nginx 修复TLS1.0漏洞并扫描TLS协议
weixin_42258548的博客
04-06 1万+
Nigx 修复TLS1.0漏洞并扫描TLS协议1.服务器报警:启用了不安全TLS1.0协议2.配置好后重启服务器3.扫描TLS协议4.完 1.服务器报警:启用了不安全TLS1.0协议 解决方法: 找到主机的Ngix配置文件所在目录 如:/alidata/server/nginx/conf/vhosts 将该目录下所有配置文件的 ssl_protocols 改为 TLSv1.2 TLSv1.3 ssl_protocols TLSv1.2 TLSv1.3; 若配置文件里面没有ssl_protocols
如何让Nginx快速支持TLS1.3协议详解
09-30
【如何让Nginx快速支持TLS1.3协议详解】 Nginx 是一款广泛应用的高性能Web服务器和反向代理服务器,其对TLS(Transport Layer Security)协议的支持是保证网络安全的重要一环。TLS 1.3是最新且最安全TLS协议版本...
nginx-1.16.1-TLS1.3-http2
01-05
`nginx-1.16.1-TLS1.3-http2` 是一个特别构建的 Nginx 版本,集成了最新的 TLS 1.3 安全协议和 HTTP/2 协议,旨在为用户提供更高效、更安全的 HTTPS 访问体验。 **Nginx:高性能Web服务器与反向代理** Nginx 是一...
lets-nginx:按钮,获取TLS
04-14
让我们Nginx使用一个命令,将浏览器有效的TLS终止置于任何Dockerized HTTP服务的前面。 docker run --detach \ --name lets-nginx \ --link backend:backend \ --env EMAIL=me@email....
Linux中Nginx添加自签证书TLS的方法
09-15
在Linux环境中,Nginx作为一款高性能的HTTP和反向代理服务器,经常被用来提供HTTPS服务,即使用TLS(Transport Layer Security)协议进行加密通信。本文将详细介绍如何在Linux的Nginx服务器上添加自签名证书来实现...
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
12-26
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
apache和nginxTLS1.0TLS1.1禁用处理方案
fwdwqdwq的博客
08-01 4061
先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。比较容易受攻击,目前新版本的TLS协议已经更新到TLS1.2、TLS1.3,高版本的TLS协议会对一些浏览器和系统兼容有影响,但是从互联网通信安全考虑,建议还是禁用TLS1.0TLS1.1,启用TLS1.2和TLS1.3.TLS协议其实就是网络安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性,TLS1.0TLS1.1是分别是96年和06年发布的老版协议。...
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】处理
热门推荐
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
12-30 21万+
概述 SSL/TLS协议信息泄露漏洞(CVE-2016-2183)漏洞TLS, SSH, IPSec协商及其他产品中使用的DES及Triple DES密码存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。 风险级别:低 该漏洞又称为SWEET32(https://sweet32.info)是对较旧的分组密码算法的攻击,它使用64位的块大小,缓解SWEET32攻击OpenSSL 1.0.1和OpenSSL 1.0.2中基于DES密码套件从“高”密码字符串组移至“中”;但Op
nmap命令
weixing100200的专栏
01-21 3141
nmap测试加密套件 [root@i-3pedyvud script]# nmap --script ssl-enum-ciphers -p 8999 36.41.188.74 Starting Nmap 7.92 ( https://nmap.org ) at 2022-01-21 21:21 CST Nmap scan report for cde.gkmang.cn (36.41.188.74) Host is up (0.025s latency). PORT STATE SERVIC
Nmap常用参数
java_java_cl的博客
05-22 6460
Nmap是一款开源免费的网络发现(NetworkDiscovery)和安全审计(SecurityAuditing)工具。Nmap最初是由Fyodor在1997年开始创建的。随后在开源社区众多的志愿者参与下,该工具逐渐成为最为流行安全必备工具之一。 一般情况下,Nmap用于列举网络主机清单、管理服务升级调度、监控主机或服务运行状况。Nmap可以检测目标机是否在线、端口开放情况、侦测运行的服务类型及版本信息、侦测操作系统与设备类型等信息。 Nmap的优点: 1.灵活。支持数十种不同的扫描方式,支...
宝塔禁用TLS1.0或者1.1
qq_39517116的博客
07-22 5712
禁用TLS1.0的原因是需要修复漏洞TLS Version 1.0 Protocol Detection 漏洞名称:TLS Version 1.0 Protocol Detection TLS版本1.0协议检测 漏洞描述:远程服务接受使用TLS 1.0加密的连接。TLS 1.0存在加密设计缺陷。更新版本的TLS(如1.1和1.2)是针对这些缺陷而设计的,应尽可能使用。PCI DSS v3.2要求在2018年6月30日之后完全禁用TLS 1.0,但POS POI终端(以及它们连接的SSL / TLS..
linux上关闭tls1.0协议,NGINX禁用TLS1.0TLS1.1使网站更安全
05-24
在 Linux 上关闭 TLS1.0 协议,可以通过修改 OpenSSL 配置文件来实现。以下是具体步骤: 1. 打开 OpenSSL 配置文件 `/etc/ssl/openssl.cnf`。 2. 找到 `[system_default_sect]` 部分,添加以下两行代码: ``` Options = PrioritizeChaCha,DisableSSL3,DisableTLS1,DisableTLS11 CipherString = DEFAULT@SECLEVEL=2 ``` 这将禁用 SSLv3、TLS1.0TLS1.1 协议,并将默认加密套件级别设置为 2(较高的安全级别)。 3. 保存配置文件并重启 Nginx 服务以使更改生效。 ``` sudo systemctl restart nginx ``` 请注意,禁用旧的协议可能会影响一些旧版浏览器或客户端的兼容性,因此应该在生产环境中谨慎采取这个操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

程序员老油条

您的鼓励将是我创作的大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值