SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱

解决办法   

 一. http服务器相关配置

1.首先生成大于1024bit(例如2048bit)的dhkey

openssl dhparam -out dhparams.pem 2048

2.然后在对应服务器中配置

Apache2.4.8及以后版本

使用如下配置命令配置(http.conf中或者对应的虚拟主机配置文件中添加)

SSLOpenSSLConfCmd DHParameters "{path to dhparams.pem}"

Apache2.4.7版本

Apache2.2.31版本及以后版本

redhat debian等大多发行版中最新Apache2.2.x

通过把dhparams.pem的内容直接附加到证书文件后

Apache2.4.7之前2.4.x版本

Apache2.2.31之前版本

dhparam默认为1024bit 无法修改

nginx使用如下命令配置(在对应的虚拟主机配置文件nginx.conf中server字段内添加)

ssl_dhparam {path to dhparams.pem}

二.如果服务器配置无法修改,例如Apache2.2.31之前版本,可以禁用DHE系列算法,采用保密性更好的ECDHE系列算法,如果ECDHE不可用可以采用普通的 RSA。

更多解决方案请参考:

https://weakdh.org/sysadmin.html

你可能感兴趣的:(SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱)