前段时间对公司的网站进行了一下扫描,使用的是awvs扫描器,发现了几处SSL方面的安全漏洞,网上找了一些修复的建议,分享给大家,如果你也遇到和我一样的问题,可以用此修复。
Web网站的SSL漏洞主要包括如下几种:
1、SSL RC4 Cipher Suites Supported
2、SSL Weak Cipher Suites Supported
3、The FREAK attack(export cipher suites supported)
4、The POODLE ataack(SSLV3 supported)
5、SSL 2.0 deprecated protocol
6、OpenSSL 'ChangeCipherSpec' MiTM Vulnerability
修复建议我使用的是awvs官方推荐的修复建议,详细的总结为如下:
1、禁用SSL 2.0 and SSL 3.0
2、禁用 TLS 1.0 压缩以及弱密码
3、针对不同的web Server修改如下配置
针对OPENSSL,请使用如下配置:
ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5
Apache服务器配置指南(mod_ssl):
适用于Apache HTTP Server 2.2+/2.4+