【已回应】如何让ngnix支持sslv3

现在xp下的ie6无法访问https站点

升级到最新版本的nginx1.15.x

大炮运维V587 发表于 2019-2-15 15:04
升级到最新版本的nginx1.15.x

已经升级到15了

尊敬的阿里云ECS用户：
       您好，日前阿里云ECS安全团队监控到SSLv3被曝出存在协议漏洞，该漏洞贯穿于所有的SSLv3版本中，利用该漏洞，黑客可以通过中间人攻击等类似的方式(只要劫持到的数据加密两端均使用SSL3.0)， 便可以窃取客户端与server端使用SSLv3加密通信的明文内容，危害严重。请您及时做好漏洞修复和安全防范。 详情如下：


1.漏洞影响：攻击者可以利用此漏洞获取受害者的https请求中的敏感信息，如cookies等；


2.漏洞利用需要具备的条件：
1）HTTPS通信双方需均使用了SSLv3协议，且加密算法采用CBC模式的块加密；
2）攻击者需要能够控制受害者发起特意构造的https请求，截获并修改加密后的请求；


3.漏洞涉及范围：所有使用了SSLv3协议+CBC加密模式的应用


4.漏洞修复方案：
1）如果要完全避免此漏洞，需要禁止使用SSLv3协议；
2）考虑到老版本浏览器（如IE6）的默认设置为SSLv3协议，如果直接禁用SSLv3协议，将导致这批采用默认设置的用户无法访问对应网站，可以采用通过修改web server的SSL配置来修复这个问题，配置实现的效果是客户端通过SSLv3协议访问https业务时双方使用RC4-SHA加密，而采用TLS1.0或更高版本协议时优先使用其他强加密算法。
3）另外，一些会被移动客户端访问的应用，在禁止SSLv3或更改SSL配置时，需要考虑到移动客户端中是否指定了使用SSLv3协议或者采用CBC模式的块加密，如果有这个问题则需要先修改客户端的实现，才能执行修复方案，否则移动客户端的访问将受影响。


禁止使用SSLv3协议配置：
nginx
修改应用原SSL配置文件中的ssl_protocols以及ssl_ciphers
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-RSA-RC4-SHA:AES128-GCM-SHA256:AES128-SHA256:AES128-SHA:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:AES256-GCM-SHA384:AES256-SHA256:AES256-SHA:ECDHE-RSA-AES128-SHA256:RC4-SHA:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!DSS:!PKS;


apache
修改应用原SSL配置文件中SSLProtocol 以及SSLCipherSuite
SSLProtocol all -SSLv3 -SSLv2
SSLCipherSuite  ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-RSA-RC4-SHA:AES128-GCM-SHA256:AES128-SHA256:AES128-SHA:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:AES256-GCM-SHA384:AES256-SHA256:AES256-SHA:ECDHE-RSA-AES128-SHA256:RC4-SHA:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!DSS:!PKS


不禁止SSLv3协议，去除SSLv3支持的CBC模式的块加密算法配置：
nginx
修改应用原SSL配置文件中的ssl_protocols以及ssl_ciphers
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-RSA-RC4-SHA:AES128-GCM-SHA256:AES128-SHA256:AES128-SHA:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:AES256-GCM-SHA384:AES256-SHA256:AES256-SHA:ECDHE-RSA-AES128-SHA256:RC4-SHA:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!DSS:!PKS;


apache
修改应用原SSL配置文件中SSLProtocol 以及SSLCipherSuite
SSLProtocol all -SSLv2
SSLCipherSuite  ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-RSA-RC4-SHA:AES128-GCM-SHA256:AES128-SHA256:AES128-SHA:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:AES256-GCM-SHA384:AES256-SHA256:AES256-SHA:ECDHE-RSA-AES128-SHA256:RC4-SHA:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!DSS:!PKS


特别提示：修复完成后请务必重启Apache和Nginx服务使修复生效。


阿里云计算
2014年10月17日

2014年的通知  现在2019年  你觉得这个漏洞还不修复吗？

大炮运维V587 发表于 2019-2-15 16:24
2014年的通知  现在2019年  你觉得这个漏洞还不修复吗？

按照这个设置,再把ngnix切换成1.12版,sslv3打开成功了

宝塔用户_mhigmj 发表于 2019-2-15 16:29
按照这个设置,再把ngnix切换成1.12版,sslv3打开成功了

建议升级到最新版

大炮运维V587 发表于 2019-2-15 16:37
建议升级到最新版

好的,我再更新到最新版看下,谢谢

大炮运维V587 发表于 2019-2-15 16:37
建议升级到最新版

经测试1.15不支持sslv3

宝塔用户_mhigmj 发表于 2019-2-15 16:55
经测试1.15不支持sslv3

tlsv1.3   新的已经是这个加密方式了