在启用了 SNI 的 nginx 服务器上， SSL 的安全性取决于最低的配置，如何解决？

2015-01-25 12:20:35 +08:00

sNullp

RT，比如在同一个 nginx 上有别人部署了支持 SSLv3 的网站（POODLE vulnerable），这样即便自己的网站的配置禁用了 SSLv3 可在 handshake 的时候浏览器还是可以以 SSLv3 连上去。

有解决办法吗？

2169 次点击

所在节点

8 条回复

sNullp

2015-01-25 12:21:36 +08:00

能让 nginx 在发现使用的 cipher 不是目前 server 允许的后断开连接吗？

sNullp

2015-01-25 12:36:02 +08:00

hmmm，我也搞不清楚这是个 bug 还是个 feature 了。
SSL的配置确实是 per host 的，而不是 per virtual host。。。

sanddudu

2015-01-25 12:37:56 +08:00

是 per virtual host ，不过得手动指定接受的协议

sNullp

2015-01-25 13:10:50 +08:00

@sanddudu 不，手动制定了无效。nginx会选取最松的directive。

futursolo

2015-01-25 13:45:52 +08:00

在服务器上对每个连入的SSL链接搞POODLE攻击，能成功就reset。

sNullp

2015-01-25 14:47:24 +08:00

@futursolo 这个有点本末倒置。。因为只有TLS一下的协议会受poodle攻击，我就想只enable tls v1,1.1,1.2

futursolo

2015-01-25 15:04:01 +08:00

@sNullp
这个问题的前提是，你有没有修改每个虚拟主机配置文件的权力，如果能，那么Block了SSLv2和v3就行，如果不能，就要对连接进行检查。

sNullp

2015-01-25 15:08:18 +08:00

@futursolo 没有。检查连接的权力更没有。
我能修改的只有自己虚拟主机的配置文件。我只想要很直观的 per virtual host 的配置，可惜做不到。我觉得这是个bug。

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.