服务器支持 TLS Client-initiated重协商攻击(CVE-2011-1473)【原理扫描】【nginx】
背景
nginx的443端口扫描出《服务器支持 TLS Client-initiated重协商攻击(CVE-2011-1473)【原理扫描】》漏洞
处理
通过限制使用 TLS 1.2 或更高版本(禁用 SSLv3 和 TLS 1.0/1.1)也可以有效防止不安全的重协商
配置
ssl_certificate xxxxxx.pem;
ssl_certificate_key xxxxxx.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
ssl_prefer_server_ciphers on;
验证
openssl s_client -connect xxx.xxx.com:443
浙公网安备 33010602011771号