Tls
如何為 nginx 配置上的 TLS_FALLBACK_SCSV 漏洞更新 libssl?
在 SSLabs 上進行測試時,我無法讓 TLS_FALLBACK_SCSV 工作,從而使我無法獲得 A+評級。
似乎是 libssl 的問題,而不是 nginx 配置的問題。我已於 2015 年 1 月 8 日更新到 OpenSSL 1.0.1k,但仍然失敗。(還禁用了 SSLv2/3。)
少了什麼東西?
無需更新即可防止該漏洞。僅通過 SSLv3 拒絕連接是一種快速修復。
將以下行放入配置文件中,或替換任何以 ssl_protocols 開頭的現有行:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; ssl_ciphers 'AES128+EECDH:AES128+EDH';
然後執行:
$ sudo service nginx restart
您可以測試執行命令
$ openssl s_client -connect <host>:<port> -ssl3