首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
sNullp
V2EX  ›  问与答

在启用了 SNI 的 nginx 服务器上, SSL 的安全性取决于最低的配置,如何解决?

  •   
  •   sNullp · 2015 年 1 月 25 日 · 2472 次点击
    这是一个创建于 4025 天前的主题,其中的信息可能已经有所发展或是发生改变。
    RT,比如在同一个 nginx 上有别人部署了支持 SSLv3 的网站(POODLE vulnerable),这样即便自己的网站的配置禁用了 SSLv3 可在 handshake 的时候浏览器还是可以以 SSLv3 连上去。

    有解决办法吗?
  • sslv3
  • Nginx
  • SNI
    8 条回复    2015-01-25 15:08:18 +08:00
    sNullp
        1
    sNullp  
    OP
       2015 年 1 月 25 日
    能让 nginx 在发现使用的 cipher 不是目前 server 允许的后断开连接吗?
    sNullp
        2
    sNullp  
    OP
       2015 年 1 月 25 日
    hmmm,我也搞不清楚这是个 bug 还是个 feature 了。
    SSL的配置确实是 per host 的,而不是 per virtual host。。。
    sanddudu
        3
    sanddudu  
       2015 年 1 月 25 日
    是 per virtual host ,不过得手动指定接受的协议
    sNullp
        4
    sNullp  
    OP
       2015 年 1 月 25 日 via iPhone
    @sanddudu 不,手动制定了无效。nginx会选取最松的directive。
    futursolo
        5
    futursolo  
       2015 年 1 月 25 日
    在服务器上对每个连入的SSL链接搞POODLE攻击,能成功就reset。
    sNullp
        6
    sNullp  
    OP
       2015 年 1 月 25 日
    @futursolo 这个有点本末倒置。。因为只有TLS一下的协议会受poodle攻击,我就想只enable tls v1,1.1,1.2
    futursolo
        7
    futursolo  
       2015 年 1 月 25 日
    @sNullp
    这个问题的前提是,你有没有修改每个虚拟主机配置文件的权力,如果能,那么Block了SSLv2和v3就行,如果不能,就要对连接进行检查。
    sNullp
        8
    sNullp  
    OP
       2015 年 1 月 25 日
    @futursolo 没有。检查连接的权力更没有。
    我能修改的只有自己虚拟主机的配置文件。我只想要很直观的 per virtual host 的配置,可惜做不到。我觉得这是个bug。
    关于   ·   帮助文档   ·   自助推广系统   ·   博客   ·   API   ·   FAQ   ·   Solana   ·   859 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 20:49 · PVG 04:49 · LAX 12:49 · JFK 15:49
    ♥ Do have faith in what you're doing.