5

サーバーでまだ SSLv3 が有効になっているのはなぜですか? 一部のコンピューターでは安全上の理由でマイページを開けないという理由で無効にしたいです。

このガイドを見つけました:

ここに画像の説明を入力

しかし、現在、私はそれを設定しています。私のサーバーは Google Cloud でホストされています。現在、次の Nginx 構成ファイルがあります。

...
ssl on;
ssl_certificate /etc/nginx/dba_certs/dba_ssl2/ssl-bundle.crt;
ssl_certificate_key /etc/nginx/dba_certs/dba_keys/dba.key;

ssl_session_cache builtin:1000 shared:SSL:10m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;
ssl_prefer_server_ciphers on;
...

OpenSSL のバージョンは 2014 年 1 月 6 日の 1.0.1f です。

ここに画像の説明を入力

何が間違っている可能性がありますか?

4

3 に答える 3

9

SSLv3 を無効にするには、任意の仮想ホスト構成だけでなく、デフォルトのサーバー構成を編集する必要があります。仮想サーバーだけでなく、リッスン ソケットに対してのみ無効にできます。default_server提供した構成スニペットは、サーバーごとに含まれる構成ファイルを使用していることを示唆しているため、適切なディレクティブで構成ファイルを見つけてlisten、そこで SSLv3 を無効にする必要があります。

server {
    listen 443 default_server ssl;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ...
}

または、さらに良いのは、次のhttpレベルで構成を編集することnginx.confです。

http {
    ...
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ...
}

nginx を最新バージョンにアップグレードすることも検討してください。nginx 1.9.1+ では、SSLv3 はデフォルトで無効になっています。

于 2015-07-29T18:28:41.763 に答える