首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
V2EX  ›  问与答

在启用了 SNI 的 nginx 服务器上, SSL 的安全性取决于最低的配置,如何解决?

  •  
  •   sNullp · 2015-01-25 12:20:35 +08:00 · 1476 次点击
    这是一个创建于 1732 天前的主题,其中的信息可能已经有所发展或是发生改变。
    RT,比如在同一个 nginx 上有别人部署了支持 SSLv3 的网站(POODLE vulnerable),这样即便自己的网站的配置禁用了 SSLv3 可在 handshake 的时候浏览器还是可以以 SSLv3 连上去。

    有解决办法吗?
    8 回复  |  直到 2015-01-25 15:08:18 +08:00
        1
    sNullp   2015-01-25 12:21:36 +08:00
    能让 nginx 在发现使用的 cipher 不是目前 server 允许的后断开连接吗?
        2
    sNullp   2015-01-25 12:36:02 +08:00
    hmmm,我也搞不清楚这是个 bug 还是个 feature 了。
    SSL的配置确实是 per host 的,而不是 per virtual host。。。
        3
    sanddudu   2015-01-25 12:37:56 +08:00
    是 per virtual host ,不过得手动指定接受的协议
        4
    sNullp   2015-01-25 13:10:50 +08:00 via iPhone
    @sanddudu 不,手动制定了无效。nginx会选取最松的directive。
        5
    futursolo   2015-01-25 13:45:52 +08:00
    在服务器上对每个连入的SSL链接搞POODLE攻击,能成功就reset。
        6
    sNullp   2015-01-25 14:47:24 +08:00
    @futursolo 这个有点本末倒置。。因为只有TLS一下的协议会受poodle攻击,我就想只enable tls v1,1.1,1.2
        7
    futursolo   2015-01-25 15:04:01 +08:00
    @sNullp
    这个问题的前提是,你有没有修改每个虚拟主机配置文件的权力,如果能,那么Block了SSLv2和v3就行,如果不能,就要对连接进行检查。
        8
    sNullp   2015-01-25 15:08:18 +08:00
    @futursolo 没有。检查连接的权力更没有。
    我能修改的只有自己虚拟主机的配置文件。我只想要很直观的 per virtual host 的配置,可惜做不到。我觉得这是个bug。
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2259 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 31ms · UTC 15:51 · PVG 23:51 · LAX 08:51 · JFK 11:51
    ♥ Do have faith in what you're doing.