任何人都可以帮我确定帽子可能是我仍然从扫描仪中获得 VA 间隙的原因吗?我的服务器托管多个 Web 应用程序,但我对所有虚拟主机使用相同的设置。
20007 - SSL 版本 2 和 3 协议检测
注意: SSLEngine 和 SSLHonorCipherOrder 都已打开。
这是针对协议的。全部禁用,仅启用 TLS 版本 1.1 和 1.2,但是,扫描仪仍检测 SSL v3
SSLProtocol -全部 +TLSv1.1 +TLSv1.2
我也尝试过这种方式:
SSLProtocol all -SSLv2 -SSLv3
我已尝试测试以下内容: openssl s_client -connect localhost:443 -ssl2 -> 握手失败(没关系) openssl s_client -connect localhost:443 -ssl3 -> 这有效,但不知道为什么,因为这已被所有人禁用vHosts(设置和上面的一样)
===== ===== =====
其他 2 个漏洞:
42873 - 支持 SSL 中等强度密码套件 以下是远程服务器支持的中等强度 SSL 密码列表: EDH-RSA-DES-CBC3-SHA Kx=DH Au=RSA Enc=3DES-CBC(168) Mac=SHA1 ECDHE -RSA-DES-CBC3-SHA Kx=ECDH Au=RSA Enc=3DES-CBC(168) Mac=SHA1 DES-CBC3-SHA Kx=RSA Au=RSA Enc=3DES-CBC(168) Mac=SHA1
65821 - SSL RC4 Cipher Suites Supported (Bar Mitzvah) 远程服务器支持的 RC4 密码套件列表:ECDHE-RSA-RC4-SHA Kx=ECDH Au=RSA Enc=RC4(128) Mac=SHA1 RC4-MD5 Kx=RSA Au=RSA Enc=RC4(128) Mac=MD5 RC4-SHA Kx=RSA Au=RSA Enc=RC4(128) Mac=SHA1
这是密码套件。我已将扫描仪中找到的所有密码都标记为粗体,并且它们都已在我的配置中被禁用,但它们仍然在扫描期间出现:
SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 !EECDH+aRSA+RC4 EECDH EDH+aRSA !RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS ! EDH-RSA-DES-CBC3-SHA !ECDHE-RSA-DES-CBC3-SHA !DES-CBC3-SHA !ECDHE-RSA-RC4-SHA !RC4-MD5 !RC4-SHA "
注意:根据检查,我拥有的 httpd 版本的更改日志不包括上述差距的 CVE。我也知道每次配置更改后都需要重新启动 httpd。
如果你们有任何建议,请告诉我,我可能会遗漏一些东西。谢谢。
为麻烦道歉。我的队友发现以下行也应该在 /etc/httpd/conf.d/ssl.conf 中更新:
SSLProtocol -all -TLSv1 +TLSv1.1 +TLSv1.2 -SSLv3
SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 !EECDH+aRSA+RC4 EECDH EDH+aRSA !RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !EDH-RSA-DES-CBC3-SHA !ECDHE-RSA-DES-CBC3-SHA !DES-CBC3-SHA !ECDHE-RSA-RC4-SHA !RC4-MD5 !RC4-SHA"
更新后,它会清除安全扫描结果。
请参阅 apache 文档,这是在 apache centos 服务器中获得 A+ 评级的正确文档。
https://httpd.apache.org/docs/trunk/ssl/ssl_howto.html
请参阅“如何创建仅接受强加密的 SSL 服务器?”部分。