https 的ssl 等级检测结果修复

NGINX 中配置HTTPS正式后SSL等级升高解决方法

1. 需求

NGINX做代理服务器配置了HTTPS证书后,使用
https://www.ssllabs.com/ssltest/analyze.htm 页面检查发现网站的安全等级为F,需要提高。

image.png

2. 解决方法

从检测结果看, Cipher Strength、Key Exchange、Protocol Support 这三个方面的内容都没有配置,因此从以下开始设置。

2.1 NGINX的配置文件中增加Cipher Strength

在nginx 的配置文件的https证书所在位置增加如下设置来增强Cipher Strength,如下:

ssl_certificate /usr/local/nginx/cert/3614155__shk.com.pem;
ssl_certificate_key /usr/local/nginx/cert/3614155__shk.com.key;

ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_prefer_server_ciphers on;

2.2 NGINX的配置文件中增加Key Exchange

Key Exchange 是在nginx 所在的系统中生成的,因此需要手动处理先生成交换文件。
一般网站使用的SSL证书都是RSA证书,这种证书基本都是2048位的密钥,但是证书密钥交换密钥必须要比证书密钥更长才能安全,而默认的只有1024位,所以我们需要手动生成一个更强的密钥。所以配置之前,如果没有DH-key就需要做下面的步骤:
yum -y install screen
screen -S DH
openssl dhparam -out dhparam.pem 4096

如果在等待过程中,网路出现中断,可以执行下面命令重新连接安装窗口。
screen -r DH

通常情况,生成的证书密钥交换密钥建议和域名证书放在一起,/usr/local/nginx/cert/
在证书生成后,在nginx.conf 文件中证书文件下面和include 的应用配置文件中证书文件下面添加如下:

ssl_dhparam /usr/local/nginx/cert/dhparam.pem;
ssl_stapling on;
ssl_session_timeout 10m;
add_header Strict-Transport-Security "max-age=6307200; includeSubdomains; preload";
ssl_stapling_verify on;

在添加完上面两个验证后,重启nginx的配置文件,重新检测站点的ssl 等级,发现检测等级如下,发现检测结果相对开始有改善,但还是F 。

image.png

2.3 NGINX的配置文件中增加Protocol Support

从2.2 的修复结果来看,还有Protocol Support没有修复,查看提示发现是OpenSSl Padding oracle vuln(CVE 2016~2107)。而修复Padding Oracle漏洞,只能是升级openssl。具体升级系统的openssl 步骤如下:

(1)从官网下载最新的openssl

wget https://www.openssl.org/source/openssl-1.1.1i.tar.gz

(2) 进行编译安装

tar zxvf openssl-1.1.1i.tar.gz
cd openssl-1.1.1i
./config -Wl,--enable-new-dtags,-rpath,'$(LIBRPATH)' --prefix=/usr/local/ssl shared zlib-dynamic #使用这个参数在编译时替换系统原有lib路径下文件,不然会报错。
make
make install
(3) 进行替换更新

cd /usr/bin
mv openssl openssl.old
ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl
cd /usr/include/
mv openssl openssl.old
ln -s /usr/local/ssl/include/openssl /usr/include/openssl
n -s /usr/local/ssl/lib/libssl.so /usr/local/lib64/libssl.so
strings /usr/local/lib64/libssl.so |grep OpenSSL
echo "/usr/local/ssl/lib" >>/etc/ld.so.conf

ldconfig -v

(4)检测openssl 是否升级成功
openssl version -a

3. 重新检测站点等级

https://www.ssllabs.com/ssltest/analyze.html?d=webgis1.e6gpshk.com

image.png
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 216,544评论 6 501
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 92,430评论 3 392
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 162,764评论 0 353
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 58,193评论 1 292
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 67,216评论 6 388
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 51,182评论 1 299
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 40,063评论 3 418
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,917评论 0 274
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 45,329评论 1 310
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,543评论 2 332
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,722评论 1 348
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 35,425评论 5 343
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 41,019评论 3 326
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,671评论 0 22
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,825评论 1 269
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,729评论 2 368
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,614评论 2 353