如何在Nginx上禁用SSLv3(防止POODLE漏洞)

SSL 3.0是一种旧的不安全协议,最近受POODLE(在降级的传统加密中填充Oracle)漏洞的影响,该漏洞允许中间人攻击者使用填充Oracle边信道攻击来解密密文。你呢

禁用SSLv3是安全的,因为它已被所有现代浏览器都支持的TLS取代。

要识别和禁用支持SSLv3的站点,请执行以下操作:

1.获取所有支持SSLv3的站点的列表。

grep -r ssl_protocol /etc/nginx

这将显示当前支持SSLv3的站点列表。

/etc/nginx/sites-available/default:# ssl_protocols SSLv3 TLSv1;
/etc/nginx/sites-enabled/mysite.com: ssl_protocols SSLv3 TLSv1;

2.接下来,您需要使用文本编辑器打开每个文件(例如pico / etc / nginx / sites-available / default)

替换以下行:

ssl_protocols SSLv3 TLSv1;

在:

ssl_protocols TLSv1.2 TLSv1.1 TLSv1;

3.对所有受影响的站点完成此操作后,请重新启动Nginx。

/etc/init.d/nginx restart

Source link

Sidebar