Lucky13校验不过的Nginx解决办法

背景

最近经常出现客户过来反馈其网站被渗透测试使用ssl测试工具发现有如下问题:
Lucky13校验不过的Nginx解决办法_第1张图片
Lucky13校验不过的Nginx解决办法_第2张图片

说明

实际上这些网站几乎用的都是testssl.sh,里面作者也提到了这个项目只是作为参考,不用太在意:https://github.com/drwetter/testssl.sh/issues/1058

解决方案

如果实在想解决这个问题,反向代理的Nginx做这个配置就可以了:

# 可以过Lucky13的Nginx配置
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384!aNULL:!eNULL:!DH:!EXPORT:!DES:!RC4:!MD5:!PSK:!RC;

具体原理应该是关闭了某些CBC套件

你可能感兴趣的:(Linux,nginx,服务器,运维)