在 lighttpd 中禁用弱 SSL 密码

在 lighttpd 中禁用弱 SSL 密码

测试工具https://www.ssllabs.com/ssltest/index.html告诉我我的服务器正在提供/支持:

SSL_RSA_WITH_DES_CBC_SHA (0x9) WEAK 56
SSL_DHE_RSA_WITH_DES_CBC_SHA (0x15) DH 1024 位 (p: 128, g: 128, Ys: 128) FS WEAK 56
RC4 是 不理想

至少这两个弱密码。我想只支持强密码。我试过指定

ssl.cipher-list = "HIGH:MEDIUM:!ADH"

但这没有帮助。我该如何告诉 lighthttpd 不要对 SSL 使用弱密码?

如果我还能同时解决“前向保密(实验性)不理想”的问题,那就太好了。

答案1

最后,这是终极的“秘密武器”:

通过 Lighttpd 上的 SSL 实验室测试(减轻 CRIME 和 BEAST 攻击、禁用 SSLv2 并启用完美前向保密)。

请阅读链接以了解具体的配置指令。

答案2

有关如何构建正确的密码套件配置的一般方法/教程,您可能需要查看这里: http://www.skytale.net/blog/archives/22-SSL-cipher-setting.html

然而,作者似乎并没有注意实现 DHE 密码套件;您将需要这些 DHE 密码才能为您的 SSL 连接提供前向保密 (FS)。

有关包括 DHE 的“现成密码套件配置”,请查看此处。似乎此配置也已测试可与一些浏览器和操作系统设置配合使用: https://github.com/pfsense/pfsense/pull/683

附言:请注意,无论 FS 是否与您的连接一起工作,SSLlabs 的消息“前向保密(实验性)不理想”似乎都会显示出来,所以暂时不要太在意那条消息。

相关内容