SSL/TLS 服務器瞬時 Diffie-Hellman 公共密鑰過弱

SSL/TLS 服務器瞬時 Diffie-Hellman 公共密鑰過弱


服務器漏洞：SSL/TLS 服務器瞬時 Diffie-Hellman 公共密鑰過弱【原理掃描】

解決方案

一. http服務器相關配置 1.首先生成大於1024bit(例如2048bit)的dhkeyopenssl dhparam -out dhparams.pem 2048 2.然后在對應服務器中配置Apache2.4.8及以后版本 使用如下配置命令配置（http.conf中或者對應的虛擬主機配置文件中添加） SSLOpenSSLConfCmd DHParameters "{path to dhparams.pem}"Apache2.4.7版本 Apache2.2.31版本及以后版本 redhat debian等大多發行版中最新Apache2.2.x 通過把dhparams.pem的內容直接附加到證書文件后 Apache2.4.7之前2.4.x版本 Apache2.2.31之前版本 dhparam默認為1024bit 無法修改 nginx使用如下命令配置（在對應的虛擬主機配置文件nginx.conf中server字段內添加） ssl_dhparam {path todhparams.pem} 二.如果服務器配置無法修改，例如Apache2.2.31之前版本，可以禁用DHE系列算法，采用保密性更好的ECDHE系列算法，如果ECDHE不可用可以采用普通的 RSA。

更多解決方案請參考: https://weakdh.org/sysadmin.html

解決方案2：

1.   替換JAVA_HOME/jre/lib/security/下的兩個加密套件    

local_policy.jar      US_export_policy.jar

2.在部署單點的那個服務器中的tomcat的conf/server.xml的8443端口配置中加入下面這個：sslEnabledProtocols = "TLSv1,TLSv1.1,TLSv1.2"

ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA"