我们的网络服务器最近因存在“TLS 会话重新协商漏洞”(CVE-2009-3555)而未通过 PCI 合规性测试。但我不确定这些结果是否正确。我们使用的是 nginx 版本 1.6.2,openssl 版本 1.0.2。
据我所知,自 0.8.23 版以来,nginx 禁用了任何类型的重新协商。Qualsys SSL 测试结果显示“SSL 安全重新协商”已启用,但安全(和不安全)客户端发起的重新协商未启用。
openssl 会话如下所示:
$ openssl s_client -connect 192.0.2.1:443
CONNECTED(00000003)
<blah, blah, blah>
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1.2
<blah blah>
GET / HTTP/1.1
R
RENEGOTIATING
140392261871432:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:596:
我在这里想念什么?有没有办法完全禁用 nginx 中的重新协商?