Início / server / Perguntas / 690589
Accepted
Drifter104
Asked: 2015-05-09 03:53:08 +0800 CST

Nginx revertendo para sslv3

  • 772

Estou usando o nginx como um proxy reverso e estou tentando desativar o suporte ao sslv3.
Encontrei várias respostas aqui e em outros sites. Todos eles sugerem que tudo o que preciso fazer é adicionar algo como o seguinte ao bloco http padrão em meu nginx.conf 

ssl_protocols               TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers                 "ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS:!RC4";
ssl_prefer_server_ciphers   on;

Eu fiz isso e até tentei esta configuração completa de https://cipherli.st/ 

ssl_ciphers "AES128+EECDH:AES128+EDH";
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_session_tickets off; # Requires nginx >= 1.5.9
ssl_stapling on; # Requires nginx >= 1.3.7
ssl_stapling_verify on; # Requires nginx => 1.3.7
resolver $DNS-IP-1 $DNS-IP-2 valid=300s;
resolver_timeout 5s;

Ainda recebo apenas uma classificação 'C' no SSL Labs (independentemente de qualquer alteração que eu faça), pelos seguintes motivos

Este servidor é vulnerável ao ataque POODLE. Se possível, desabilite o SSL 3 para mitigar. Nota limitada a C.
Este servidor aceita a cifra RC4, que é fraca. Nota limitada a B.

Também reiniciei o servidor para saber que as alterações de configuração foram aplicadas.

nginx -v
versão nginx: nginx/1.9.0

/etc/issue
Ubuntu 14.04.2 LTS \n \l

openssl version -a
OpenSSL 1.0.1f 6 Jan 2014 construído em: Thu Mar 19 15:12:02 UTC 2015 platform: debian-amd64 options: bn(64,64) rc4(16x,int) des(idx,cisc,16 ,int) blowfish(idx) compilador: cc -fPIC -DOPENSSL_PIC -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat - WERROR = 2 -WL, -BSYMBOLIC -FUNCIONS -WL, -Z, Relro -wa, -Noexecstack -wall -dmd32_reg_t = Int -dopensssl_ia32_SSE2 -nopssl_BN_Amm_Mont -gunsl_Onssl_ia32_SSE2 -nopssl_BN_Amm_Mont -gus -noPenssl_ia32_SSE2 -NOPSOMASM_BN_MAST_MONT -GO -DOPST -SHASMBAMAmmAmmAmmAmmAmmAmmAmmAmmAmmAmmAmmAmmAmmAmmAmmAmmAms -fasms. DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM OPENSSLDIR: "/usr/lib/ssl"

Alguma sugestão?

nginx

1 respostas

  1. Best Answer

    Acredito que sua versão do openssl seja o problema. O grupo openssl recomenda a versão mínima 1.01j.

    Além disso, verifique sua cifra. Não deveria haver dois pontos antes de !RC4?

    • 3

relate perguntas