(本文仅供参考)
问题说明
安全检测出中危漏洞如下:
漏洞名称 | TLS/SSL 弱密码套件 |
漏洞描述 | 远程主机支持具有弱或不安全属性的 TLS/SSL 密码套件。 |
修复建议 | 重新配置受影响的应用程序以避免使用弱密码套件。 |
CVSS 3.0 | 3.7 |
解决方案
通过配置中间件或代理来排除不安全的加密方式。
注:前提条件是tomcat或代理开启了https。
1、tomcat配置方式:
进入tomcat的配置目录下(%tomcatHome%\conf)修改server.xml文件中的Connector节点内容。
sslProtocols="TLSv1" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA"
完整示例
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="true" sslProtocols="TLSv1" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA" keystoreFile="conf/tomcat.keystore" keystorePass="password" truststoreFile="conf/tomcat.keystore" truststorePass="password"/>
2、nginx配置方式:
1、进入到nginx目录下的conf/nginx.conf文件中的server 中加入以下配置。
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!3DES:!ADH:!RC4:!DH:!DHE;
