5,657
社区成员
发帖
与我相关
我的任务
分享请教一个nginx配置ssl ciphers没有生效的问题
我由于需要做自动化,想把nginx服务器的ssl ciphers的安全性降低下去,不要使用DHE这类的Ephemeral cipher suite。
我根据网上查的资料,在nginx.conf文件里这样配置:
server {
listen 8080;
listen 443;
server_name localhost;
ssl on;
ssl_certificate ../cert/server.pem;
ssl_certificate_key ../cert/server.key;
ssl_prefer_server_ciphers On;
ssl_ciphers aRSA:!ECDHE:!EDH:!kDHE;
access_log logs/access_8080.log main;
但是client访问过去,还是按照的TSL_ECDHE_RSA_WITH_AES_265_CBC_SHA进行的连接。
我也重启过nginx,没有效果。
请问各位大侠,要怎么办,才能禁止nginx使用DHE或者EDH啊?
我在服务器上用
openssl ciphers -v 'aRSA:!ECDHE:!EDH:!kDHE'
来查看,结果如下:
SRP-RSA-AES-256-CBC-SHA SSLv3 Kx=SRP Au=RSA Enc=AES(256) Mac=SHA1
AES256-GCM-SHA384 TLSv1.2 Kx=RSA Au=RSA Enc=AESGCM(256) Mac=AEAD
AES256-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA256
AES256-SHA SSLv3 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA1
CAMELLIA256-SHA SSLv3 Kx=RSA Au=RSA Enc=Camellia(256) Mac=SHA1
SRP-RSA-AES-128-CBC-SHA SSLv3 Kx=SRP Au=RSA Enc=AES(128) Mac=SHA1
AES128-GCM-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AESGCM(128) Mac=AEAD
AES128-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AES(128) Mac=SHA256
AES128-SHA SSLv3 Kx=RSA Au=RSA Enc=AES(128) Mac=SHA1
SEED-SHA SSLv3 Kx=RSA Au=RSA Enc=SEED(128) Mac=SHA1
CAMELLIA128-SHA SSLv3 Kx=RSA Au=RSA Enc=Camellia(128) Mac=SHA1
RC4-SHA SSLv3 Kx=RSA Au=RSA Enc=RC4(128) Mac=SHA1
RC4-MD5 SSLv3 Kx=RSA Au=RSA Enc=RC4(128) Mac=MD5
SRP-RSA-3DES-EDE-CBC-SHA SSLv3 Kx=SRP Au=RSA Enc=3DES(168) Mac=SHA1
DES-CBC3-SHA SSLv3 Kx=RSA Au=RSA Enc=3DES(168) Mac=SHA1
NULL-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=None Mac=SHA256
NULL-SHA SSLv3 Kx=RSA Au=RSA Enc=None Mac=SHA1
NULL-MD5 SSLv3 Kx=RSA Au=RSA Enc=None Mac=MD5
我根据网上查的资料,在nginx.conf文件里这样配置:
server {
listen 8080;
listen 443;
server_name localhost;
ssl on;
ssl_certificate ../cert/server.pem;
ssl_certificate_key ../cert/server.key;
ssl_prefer_server_ciphers On;
ssl_ciphers aRSA:!ECDHE:!EDH:!kDHE;
access_log logs/access_8080.log main;
但是client访问过去,还是按照的TSL_ECDHE_RSA_WITH_AES_265_CBC_SHA进行的连接。
我也重启过nginx,没有效果。
请问各位大侠,要怎么办,才能禁止nginx使用DHE或者EDH啊?
我在服务器上用
openssl ciphers -v 'aRSA:!ECDHE:!EDH:!kDHE'
来查看,结果如下:
SRP-RSA-AES-256-CBC-SHA SSLv3 Kx=SRP Au=RSA Enc=AES(256) Mac=SHA1
AES256-GCM-SHA384 TLSv1.2 Kx=RSA Au=RSA Enc=AESGCM(256) Mac=AEAD
AES256-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA256
AES256-SHA SSLv3 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA1
CAMELLIA256-SHA SSLv3 Kx=RSA Au=RSA Enc=Camellia(256) Mac=SHA1
SRP-RSA-AES-128-CBC-SHA SSLv3 Kx=SRP Au=RSA Enc=AES(128) Mac=SHA1
AES128-GCM-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AESGCM(128) Mac=AEAD
AES128-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AES(128) Mac=SHA256
AES128-SHA SSLv3 Kx=RSA Au=RSA Enc=AES(128) Mac=SHA1
SEED-SHA SSLv3 Kx=RSA Au=RSA Enc=SEED(128) Mac=SHA1
CAMELLIA128-SHA SSLv3 Kx=RSA Au=RSA Enc=Camellia(128) Mac=SHA1
RC4-SHA SSLv3 Kx=RSA Au=RSA Enc=RC4(128) Mac=SHA1
RC4-MD5 SSLv3 Kx=RSA Au=RSA Enc=RC4(128) Mac=MD5
SRP-RSA-3DES-EDE-CBC-SHA SSLv3 Kx=SRP Au=RSA Enc=3DES(168) Mac=SHA1
DES-CBC3-SHA SSLv3 Kx=RSA Au=RSA Enc=3DES(168) Mac=SHA1
NULL-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=None Mac=SHA256
NULL-SHA SSLv3 Kx=RSA Au=RSA Enc=None Mac=SHA1
NULL-MD5 SSLv3 Kx=RSA Au=RSA Enc=None Mac=MD5
...全文
请发表友善的回复…
发表回复
45angle仰望安全 2019-12-03
- 打赏
- 举报
最后怎么解决的,我现在也是生效不了
时光凉春衫薄 2019-03-06
- 打赏
- 举报
我也遇到这个问题
这是我的配置文件 你看看有啥不一样的
server {
listen 443 ssl;
server_name www.yourdomain.com;
ssl_certificate /usr/local/ssl/33iq.crt;
ssl_certificate_key /usr/local/ssl/33iq_nopass.key;
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers "DHE-RSA-AES128-GCM-SHA256:AES256+EDH:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
fastcgi_param HTTPS on;
fastcgi_param HTTP_SCHEME https;
}
我这个重启服务就好使了
