SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱

详细描述	安全套接层（Secure Sockets Layer，SSL），一种安全协议，是网景公司（Netscape）在推出Web浏览器首版的同时提出的，目的是为网络通信提供安全及数据完整性。SSL在传输层对网络连接进行加密。传输层安全TLS（Transport Layer Security），IETF对SSL协议标准化（RFC 2246）后的产物，与SSL 3.0差异很小。  当服务器SSL/TLS的瞬时Diffie-Hellman公共密钥小于等于1024位时，存在可以恢复纯文本信息的风险。  DHE man-in-the-middle protection (Logjam)  --------------------------------------------------------  https://www.openssl.org/blog/blog/2015/05/20/logjam-freak-upcoming-changes/  https://weakdh.org/sysadmin.html  https://en.wikipedia.org/wiki/DiffieE28093Hellman_key_exchange#Security
解决办法	一. http服务器相关配置  1.首先生成大于1024bit(例如2048bit)的dhkey  openssl dhparam -out dhparams.pem 2048  2.然后在对应服务器中配置  Apache2.4.8及以后版本  使用如下配置命令配置（http.conf中或者对应的虚拟主机配置文件中添加）  SSLOpenSSLConfCmd DHParameters "{path to dhparams.pem}"  Apache2.4.7版本  Apache2.2.31版本及以后版本  redhat debian等大多发行版中最新Apache2.2.x  通过把dhparams.pem的内容直接附加到证书文件后  Apache2.4.7之前2.4.x版本  Apache2.2.31之前版本  dhparam默认为1024bit 无法修改  nginx使用如下命令配置（在对应的虚拟主机配置文件nginx.conf中server字段内添加）  ssl_dhparam {path to dhparams.pem}  二.如果服务器配置无法修改，例如Apache2.2.31之前版本，可以禁用DHE系列算法，采用保密性更好的ECDHE系列算法，如果ECDHE不可用可以采用普通的 RSA。  更多解决方案请参考:  https://weakdh.org/sysadmin.html
威胁分值	4.3
危险插件	否
发现日期	2015-11-26
CVSS评分	4.3