- 问题形容
SSL/TLS协定信息泄露破绽(CVE-2016-2183)
TLS是平安传输层协定,用于在两个通信应用程序之间提供保密性和数据完整性。
TLS, SSH, IPSec协商及其他产品中应用的DES及Triple DES明码存在大概四十亿块的生日界,这可使近程攻击者通过Sweet32攻打,获取纯文本数据。
2.问题解决过程
首先从这个破绽介绍中得悉
- https://www.openssl.org/news/secadv/20160922.txt
OpenSSL 1.1.0 当前没有此破绽,并且本地的openssl 版本高于1.1.0
换个思路去找问题
通过上面链接理解nmap 扫描工具能够晓得破绽的起源(复测)
- https://www.e-learn.cn/topic/3756431
nmap装置形式请另行百度(案例的服务器是redhat,去官网下载的rpm包,rpm -ivh 包就装置胜利了)
通过上面的命令失去后果
nmap -sV –script ssl-enum-ciphers -p 443 www.example.com (ip 也能够)
发现3DES 加密是C级别的,并且有个warning 跟 CVE-2016-2183 的形容大略统一
3.解决问题
- https://blog.csdn.net/warrior_wjl/article/details/25000541
通过配置nginx 的设置 ssl_ciphers HIGH:!aNULL:!MD5:!3DES;
注: !3DES是后增加的过滤
之后nginx -t 查看配置文件
nginx -s reload 重启nginx
4.复测
nmap -sV –script ssl-enum-ciphers -p 443 www.example.com (ip 也能够)
问题解决