日前利用Nessus掃描,有一台主機apache服務在443出現SSL Version 2 and 3 Protocol Detection
小弟知道SSL的版本過舊,要升到TLS1.2以上。
但我嘗試在vm上也啟了一個Apache2,也利用Openssl產生憑證,且SSLProtocol設定如下:
SSLProtocol all -SSLv3
443也成功啟用,照理來說也會出現相同的弱點,但弱掃結果並沒有出現SSL Version 2 and 3 Protocol Detection
所以想請問443下的SSL的版本是根據服務本身的設定影響嗎?
已邀請的邦友 {{ invite_list.length }}/5
你可以先用如下的指令
nmap --script ssl-enum-ciphers -p 443 你的域名
檢查看看是否有開啟tls,且檢查ssl相關的是否已經關閉。
再來找找所有的設定檔
可用如下的指令找
grep -r SSLEngine /etc/nginx/*
PS:我用的是nginx。你要改成你的httpd的路行找。
反正就是先找出有SSLEngine相關的設定檔。然後再一個一個打開
如果有對應的設定檔。在其 SSLProtocol 相關。如你文中那樣設定
SSLProtocol all -SSLv2 -SSLv3
一般sslv目前新版的都已經預設不啟用了。你可能是以前舊版的設定。
設定檔改掉就好了。正常啦,畢竟我一開始就沒在用sslv?了
雖然有幫客戶處理過一下設定就是了。
不過我用的是nginx的。所以本來就沒有。
先用nmap查看一下確認。看看是否是板本的問題。
如果只是單純沒關閉ssl的協議。就從設定檔中調整設定就行了。
對了對了,要記得設定完要做重啟服務的動作喔!!
iThome鐵人賽
看影片追技術