我刚刚在 lighttpd 服务器上安装了 SSL 证书。在运行一些第三方测试时,他们说SSLV3
出于安全原因应该禁用该证书。
但是,由于我的版本不支持ssl.use-sslv3 = "disable"
配置文件,我不确定如何进行更改。它看起来像是1.4.29
支持它,但实际上不是1.4.28
。
答案1
我同意测试人员的意见,只应启用 TLS。
考虑升级 lighttpd 和 libssl。这可能需要更新的操作系统。鉴于 lighttpd 1.4.28 的年代久远,这是现代 https 安全性的要求。
您可以控制密码列表。请参阅本文lighttpd 上的强 SSL 安全性导入示例Mozilla OpSec 的列表。请注意您受到 OpenSSL 版本的限制。
https://cipherli.st/是现代客户的快速参考版本。