Tls

如何為 nginx 配置上的 TLS_FALLBACK_SCSV 漏洞更新 libssl?

  • April 9, 2015

在 SSLabs 上進行測試時,我無法讓 TLS_FALLBACK_SCSV 工作從而使我無法獲得 A+評級

似乎是 libssl 的問題,而不是 nginx 配置的問題。我已於 2015 年 1 月 8 日更新到 OpenSSL 1.0.1k,但仍然失敗。(還禁用了 SSLv2/3。)

少了什麼東西?

無需更新即可防止該漏洞。僅通過 SSLv3 拒絕連接是一種快速修復。

將以下行放入配置文件中,或替換任何以 ssl_protocols 開頭的現有行:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers 'AES128+EECDH:AES128+EDH';

然後執行:$ sudo service nginx restart

您可以測試執行命令$ openssl s_client -connect <host>:<port> -ssl3

引用自:https://serverfault.com/questions/658270