(本文仅供参考)

问题说明

安全检测出中危漏洞如下:

漏洞名称

TLS/SSL 弱密码套件

漏洞描述

远程主机支持具有弱或不安全属性的 TLS/SSL 密码套件。
                         

修复建议

重新配置受影响的应用程序以避免使用弱密码套件。
                         

CVSS 3.0

3.7

解决方案

通过配置中间件或代理来排除不安全的加密方式。

注:前提条件是tomcat或代理开启了https。

1、tomcat配置方式:

进入tomcat的配置目录下(%tomcatHome%\conf)修改server.xml文件中的Connector节点内容。

sslProtocols="TLSv1"
ciphers="TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA"

完整示例

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="true" sslProtocols="TLSv1"
ciphers="TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA"
keystoreFile="conf/tomcat.keystore" keystorePass="password"
truststoreFile="conf/tomcat.keystore" truststorePass="password"/>

2、nginx配置方式:

1、进入到nginx目录下的conf/nginx.conf文件中的server 中加入以下配置。

ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!3DES:!ADH:!RC4:!DH:!DHE;