V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
uuair
V2EX  ›  SSL

关于 ssl 的错误,为什么我不是 a+?

  •  
  •   uuair · 2017-06-15 21:31:11 +08:00 · 2805 次点击
    这是一个创建于 2716 天前的主题,其中的信息可能已经有所发展或是发生改变。

    出现的问题在这里:

    TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xA) 112 bits

    TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xA) 112 bits 名称:TLS_RSA_WITH_3DES_EDE_CBC_SHA 代码:0xA 描述: 加密强度:112 bits 正向加密:NO 是否安全:WEAK

    是不是因为有这个 weak 才导致的?? 但是怎么解决啊? 我是 ubuntu+nginx,用的是 Let's 的证书。

    16 条回复    2017-06-17 15:24:15 +08:00
    devops
        1
    devops  
       2017-06-15 21:33:14 +08:00 via Android
    uuair
        2
    uuair  
    OP
       2017-06-15 21:39:52 +08:00
    @devops 这个我正在看呢,而且有一些问题,待会我把自己变成 A+以后会写一个新的配置方法的,已经走了很多弯路了。。
    但是我现在的问题,用这个配置是解决不了的。
    devops
        3
    devops  
       2017-06-15 21:44:27 +08:00 via Android
    食得咸鱼耐得渴,无非「削足合适履」罢了。
    ivmm
        4
    ivmm  
       2017-06-15 21:53:15 +08:00
    ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:RSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:RSA+AES256:EECDH+ECDSA+3DES:EECDH+aRSA+3DES:RSA+3DES:!MD5;
    miyuki
        5
    miyuki  
       2017-06-15 21:55:25 +08:00
    cipher suite
    uuair
        6
    uuair  
    OP
       2017-06-15 21:58:38 +08:00
    ssl_ciphers "ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS";

    @ivmm 我现在是这个,看不出来哪个是问题啊。。。
    lty1993
        7
    lty1993  
       2017-06-15 22:00:10 +08:00
    ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
    一般现代浏览器就留这几个就够了,支持一大堆反而要去 Monitor 所有算法的安全问题,及时去去掉反而麻烦的多。
    lty1993
        8
    lty1993  
       2017-06-15 22:01:02 +08:00
    @uuair DES 的可以全部去掉了。
    devops
        9
    devops  
       2017-06-15 22:01:24 +08:00
    光调整 ssl_cipher 不够的。
    lty1993
        10
    lty1993  
       2017-06-15 22:02:58 +08:00
    @devops 当然还有 TLS 只允许 1.2,然后自定义强 dh_params 都要弄。
    AirSc
        11
    AirSc  
       2017-06-15 22:21:59 +08:00
    你直接把报告发出来就好确认有没有其他原因了。
    ivmm
        12
    ivmm  
       2017-06-15 22:30:48 +08:00
    @uuair 只用我给你的几个就够了,不需要那么多的
    uuair
        13
    uuair  
    OP
       2017-06-15 22:32:10 +08:00
    @AirSc
    @lty1993
    @devops

    多谢各位,虽然我这个问题没解决,但是确实如楼上说的,我解决了其他问题,网站达到了 A+,这个问题我还是想解决的,以后慢慢来。。。

    解决办法再这里: https://www.v2ex.com/t/368732
    uuair
        14
    uuair  
    OP
       2017-06-15 22:36:59 +08:00
    @ivmm 呀,我忘记艾特你了,多谢多谢
    yryz
        15
    yryz  
       2017-06-16 11:15:26 +08:00   ❤️ 1
    @uuair A+需要配置 HSTS,强制使用 HTTPS,那些套件的配置最多只能让你到 A
    Hardrain
        16
    Hardrain  
       2017-06-17 15:24:15 +08:00   ❤️ 1
    3DES 只要不是 server-preferred cipher list 中的首选就没问题
    (前提是密钥交换安全,不能用 DH_anon_DES_CBC3_SHA 这类匿名 DH 的,否则会降到 F)

    你需要添加 HSTS Header,并至少 180 天(15552000s)
    如果同时添加了 HKPK Header,这个 Header 不能有错误(比如没配置 backup pin)
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1069 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 22:39 · PVG 06:39 · LAX 14:39 · JFK 17:39
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.