堆棧內存溢出
  簡體   English   中英

在Ubuntu 16和Nginx中禁用Diffie-Hellman(DH)密鑰

[英]Disable Diffie-Hellman (DH) key in Ubuntu 16 and Nginx

 原文  2018-01-25 05:37:26       ssl/ nginx/ ssl-certificate/ ubuntu-16.04/ diffie-hellman

問題描述

對於使用Nginx在Ubuntu 16中托管的網站,SSL測試始終顯示B級。 以下是顯示的原因。 另見附圖。 當前的SSL密碼設置如下。 我在ubuntu 16和Nginx的大約8到10台服務器上注意到了同樣的事情。 

ssl_protocols TLSv1.2 TLSv1.1 TLSv1;
ssl_ciphers 'AES256+EECDH:AES256+EDH::!EECDH+aRSA+RC4:!RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS';
ssl_session_cache shared:SSL:10m;

Diffie-Hellman(DH)密鑰交換參數。 等級上限為B.

Qualys SSL實驗室 - SSL服務器測試

2 個解決方案

解決方案1
 5  2018-01-26 17:49:30

最后我找到了解決方案。 默認情況下,Linux使用openssl提供的內置DH。 這使用弱鍵。 解決方案是生成我們自己的。 使用以下內容生成新的。 我用了2048,你也可以嘗試4096。

openssl dhparam -out /etc/nginx/ssl/dhparam.pem 2048

然后將其添加到nginx main conf並重新加載。 開始了。 我們現在有A級。

ssl_dhparam /etc/nginx/ssl/dhparam.pem;

在此輸入圖像描述

參考網址: -

https://michael.lustfield.net/nginx/getting-a-perfect-ssl-labs-score

https://geekflare.com/nginx-webserver-security-hardening-guide/

解決方案2
 -2  2018-01-25 05:50:22

Mozilla SSL配置生成器是正確配置TLS設置的最佳方式。

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 該服務器支持不安全的Diffie-Hellman(DH)密鑰交換參數(Logjam)。 等級設為F 與Tomcat 7的Diffie-Hellman公鑰錯誤 Weblogic的短暫Diffie-Hellman公鑰錯誤 Diffie-Hellman取代SSL? JDK 1.8是否支持具有4096位Diffie-Hellman(DH)密鑰的密碼套件 SonarQube:SSL短暫的短暫Diffie-Hellman密鑰問題 安全證書Diffie-hellman Anon 臨時Diffie-Hellman需要證書嗎? 內部網站的Chrome錯誤“服務器具有弱的短暫Diffie-Hellman公鑰” 如何使用密鑰長度為480位的Diffie-Hellman獲取SSL頁面?
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM