V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
sNullp
V2EX  ›  问与答

在启用了 SNI 的 nginx 服务器上, SSL 的安全性取决于最低的配置,如何解决?

  •  
  •   sNullp · 2015-01-25 12:20:35 +08:00 · 2252 次点击
    这是一个创建于 3618 天前的主题,其中的信息可能已经有所发展或是发生改变。
    RT,比如在同一个 nginx 上有别人部署了支持 SSLv3 的网站(POODLE vulnerable),这样即便自己的网站的配置禁用了 SSLv3 可在 handshake 的时候浏览器还是可以以 SSLv3 连上去。

    有解决办法吗?
    8 条回复    2015-01-25 15:08:18 +08:00
    sNullp
        1
    sNullp  
    OP
       2015-01-25 12:21:36 +08:00
    能让 nginx 在发现使用的 cipher 不是目前 server 允许的后断开连接吗?
    sNullp
        2
    sNullp  
    OP
       2015-01-25 12:36:02 +08:00
    hmmm,我也搞不清楚这是个 bug 还是个 feature 了。
    SSL的配置确实是 per host 的,而不是 per virtual host。。。
    sanddudu
        3
    sanddudu  
       2015-01-25 12:37:56 +08:00
    是 per virtual host ,不过得手动指定接受的协议
    sNullp
        4
    sNullp  
    OP
       2015-01-25 13:10:50 +08:00 via iPhone
    @sanddudu 不,手动制定了无效。nginx会选取最松的directive。
    futursolo
        5
    futursolo  
       2015-01-25 13:45:52 +08:00
    在服务器上对每个连入的SSL链接搞POODLE攻击,能成功就reset。
    sNullp
        6
    sNullp  
    OP
       2015-01-25 14:47:24 +08:00
    @futursolo 这个有点本末倒置。。因为只有TLS一下的协议会受poodle攻击,我就想只enable tls v1,1.1,1.2
    futursolo
        7
    futursolo  
       2015-01-25 15:04:01 +08:00
    @sNullp
    这个问题的前提是,你有没有修改每个虚拟主机配置文件的权力,如果能,那么Block了SSLv2和v3就行,如果不能,就要对连接进行检查。
    sNullp
        8
    sNullp  
    OP
       2015-01-25 15:08:18 +08:00
    @futursolo 没有。检查连接的权力更没有。
    我能修改的只有自己虚拟主机的配置文件。我只想要很直观的 per virtual host 的配置,可惜做不到。我觉得这是个bug。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2792 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 13:04 · PVG 21:04 · LAX 05:04 · JFK 08:04
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.