前言
由于SSLv3协议遭到越来越多的攻击,尤其是最近的Poodle攻击,很多客户都考虑在服务器端关闭SSLv3的通信协议,所以我们整理了一下几种常见的WEB服务器上关闭SSLv3的方法(包含关闭SSLv2)。
要注意的是:IE6 缺省状态是不支持TLS协议的,所以如果客户端还有IE6浏览器的,请慎重考虑是否关闭。
检测一个网站是否没有关闭SSLv3,可以使用官方工具:
Apache
SSLEngine on
SSLCertificateFile server.crt
SSLCertificateKeyFile server.key
SSLCertificateChainFile chain.crt
Nginx
ssl on;
ssl_certificate server.crt;
ssl_certificate_key server.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
Tomcat
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
clientAuth="false" SSLEnabledProtocols = "TLSv1,TLSv1.1,TLSv1.2"/>
port="8443" minSpareThreads="5" maxSpareThreads="75" >
Windows IIS
服务器端
点击“开始”—“运行”,输入 “Regedit”,点击OK.
在注册表中寻找:
“HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server”
如果在Protocols下没有“SSL 3.0”选项,请依次新建“SSL 3.0”和“Server”项。
新建一个DWORD值。
在名称中,输入“Enabled”。
双击这个值,在数值数据中,输入“0”。
点击OK,退出注册表编辑器,然后重启电脑。
如果要禁用SSLv2,只需要将上面SSL 3.0改成SSL 2.0,其他照样操作一次即可。
客户端
点击“开始”—“运行”,输入 “Regedit”,点击OK.
在注册表中寻找:
“HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client”
如果在Protocols下没有“SSL 3.0”选项,请依次新建“SSL 3.0”和“Client”项。
新建一个DWORD值。
在名称中,输入“Enabled”。
双击这个值,在数值数据中,输入“0”。
点击OK,退出注册表编辑器,然后重启电脑。
如果要禁用SSLv2,只需要将上面SSL 3.0改成SSL 2.0,其他照样操作一次即可。
BIG-IP
在命令终端运行以下命令:
[root@bigip1:Active:Standalone] templates # tmsh modify /sys httpd ssl-protocol "all -SSLv2 -SSLv3"
文档编写日期:2016年09月02日