我在 Linux Redhat 服务器上运行了安全扫描,它显示了以下漏洞:
启用 SSL 的服务器支持中等强度的 SSL 加密证书/密码
在 httpd.conf 文件中,我添加了以下密码:
SSLCipherSpec 3A
SSLCipherSpec 2F
SSLCipherSpec 35b
SSLCipherSpec 35
SSLCipherSpec 34
这是以下的简称:
SSLCipherSpec SSL_RSA_WITH_3DES_EDE_CBC_SHA
SSLCipherSpec TLS_RSA_WITH_AES_256_CBC_SHA
SSLCipherSpec TLS_RSA_WITH_AES_128_CBC_SHA
SSLCipherSpec SSL_RSA_WITH_RC4_128_SHA
SSLCipherSpec SSL_RSA_WITH_RC4_128_MD5
禁用协议也有一行:
SSLProtocolDisable SSLv2 SSLv3
在此之后,我重新启动了 httpd 并运行了另一次扫描,但漏洞仍然存在。我在这里想念什么?
RC4 密码今天被认为是弱的。最好不要再使用 3DES。我建议按照Mozilla 的建议正确配置您的服务器