我在 Linux Redhat 服务器上运行了安全扫描,结果显示存在以下漏洞:
支持 SSL 的服务器支持中等强度 SSL 加密证书/密码
在 httpd.conf 文件中,我添加以下密码:
SSLCipherSpec 3A
SSLCipherSpec 2F
SSLCipherSpec 35b
SSLCipherSpec 35
SSLCipherSpec 34
这是以下的简称:
SSLCipherSpec SSL_RSA_WITH_3DES_EDE_CBC_SHA
SSLCipherSpec TLS_RSA_WITH_AES_256_CBC_SHA
SSLCipherSpec TLS_RSA_WITH_AES_128_CBC_SHA
SSLCipherSpec SSL_RSA_WITH_RC4_128_SHA
SSLCipherSpec SSL_RSA_WITH_RC4_128_MD5
还有一行禁用协议:
SSLProtocolDisable SSLv2 SSLv3
之后我重新启动了 httpd 并运行了另一次扫描,但漏洞仍然存在。我在这里缺少什么?
答案1
SSLCipherSpec SSL_RSA_WITH_3DES_EDE_CBC_SHA ... SSLCipherSpec SSL_RSA_WITH_RC4_128_SHA SSLCipherSpec SSL_RSA_WITH_RC4_128_MD5
如今,RC4 密码被认为是弱密码。即使是 3DES 最好也不要再使用了。我建议遵循Mozilla 的推荐正确配置您的服务器