SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱

SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱


服务器漏洞：SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱【原理扫描】

解决方案

一. http服务器相关配置 1.首先生成大于1024bit(例如2048bit)的dhkeyopenssl dhparam -out dhparams.pem 2048 2.然后在对应服务器中配置Apache2.4.8及以后版本 使用如下配置命令配置（http.conf中或者对应的虚拟主机配置文件中添加） SSLOpenSSLConfCmd DHParameters "{path to dhparams.pem}"Apache2.4.7版本 Apache2.2.31版本及以后版本 redhat debian等大多发行版中最新Apache2.2.x 通过把dhparams.pem的内容直接附加到证书文件后 Apache2.4.7之前2.4.x版本 Apache2.2.31之前版本 dhparam默认为1024bit 无法修改 nginx使用如下命令配置（在对应的虚拟主机配置文件nginx.conf中server字段内添加） ssl_dhparam {path todhparams.pem} 二.如果服务器配置无法修改，例如Apache2.2.31之前版本，可以禁用DHE系列算法，采用保密性更好的ECDHE系列算法，如果ECDHE不可用可以采用普通的 RSA。

更多解决方案请参考: https://weakdh.org/sysadmin.html

解决方案2：

1.   替换JAVA_HOME/jre/lib/security/下的两个加密套件    

local_policy.jar      US_export_policy.jar

2.在部署单点的那个服务器中的tomcat的conf/server.xml的8443端口配置中加入下面这个：sslEnabledProtocols = "TLSv1,TLSv1.1,TLSv1.2"

ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA"