禁用SSLv3 协议
前言
由于SSLv3协议遭到越来越多的攻击,尤其是最近的Poodle攻击,很多客户都考虑在服务器端关闭SSLv3的通信协议,所以我们整理了一下几种常见的WEB服务器上关闭SSLv3的方法(包含关闭SSLv2)。
要注意的是:IE6 缺省状态是不支持TLS协议的,所以如果客户端还有IE6浏览器的,请慎重考虑是否关闭。
检测一个网站是否没有关闭SSLv3,可以使用官方工具:
Apache
SSLEngine on SSLCertificateFile server.crt SSLCertificateKeyFile server.key SSLCertificateChainFile chain.crt
Nginx
ssl on; ssl_certificate server.crt; ssl_certificate_key server.key; ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
Tomcat
<!-- Tomcat 5 到 Tomcat 6.0.38的版本> <Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" clientAuth="false" SSLProtocols = "TLSv1,TLSv1.1,TLSv1.2" /> <!-- Tomcat 6.0.38 以后的版本 --> <Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" clientAuth="false" SSLEnabledProtocols = "TLSv1,TLSv1.1,TLSv1.2"/> <!—使用APR的TOMCAT --> <Connector protocol="org.apache.coyote.http11.Http11AprProtocol" port="8443" minSpareThreads="5" maxSpareThreads="75" >
Windows IIS
服务器端
- 点击“开始”—“运行”,输入 “Regedit”,点击OK.
- 在注册表中寻找:
- “HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server”
- 如果在Protocols下没有“SSL 3.0”选项,请依次新建“SSL 3.0”和“Server”项。
- 新建一个DWORD值。
- 在名称中,输入“Enabled”。
- 双击这个值,在数值数据中,输入“0”。
- 点击OK,退出注册表编辑器,然后重启电脑。
- 如果要禁用SSLv2,只需要将上面SSL 3.0改成SSL 2.0,其他照样操作一次即可。
客户端
- 点击“开始”—“运行”,输入 “Regedit”,点击OK.
- 在注册表中寻找:
“HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client”
- 如果在Protocols下没有“SSL 3.0”选项,请依次新建“SSL 3.0”和“Client”项。
- 新建一个DWORD值。
- 在名称中,输入“Enabled”。
- 双击这个值,在数值数据中,输入“0”。
- 点击OK,退出注册表编辑器,然后重启电脑。
- 如果要禁用SSLv2,只需要将上面SSL 3.0改成SSL 2.0,其他照样操作一次即可。
BIG-IP
在命令终端运行以下命令:
[root@bigip1:Active:Standalone] templates # tmsh modify /sys httpd ssl-protocol "all -SSLv2 -SSLv3"
文档编写日期:2016年09月02日