如何在SSL中禁用弱密码？

Question

我们在系统扫描过程中出现了弱密码漏洞，为了解决这个问题，我在openssl.conf中用字符串消除了它们，但是我仍然能够使用这些密码器连接本地主机。"RC4“。

在and服务器的post 3128和8443上报告了此漏洞。

ssl.conf输出：

#SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4:!DES:!3DES

我仍然能够使用RC4密码连接到本地主机。

[XXXXXXXXXX ~]$ openssl s_client -cipher 'RC4' -connect 127.0.0.1:3128
CONNECTED(00000003)

这是正确的测试方式，还是我做错了什么？

在下一次扫描中，openssl.conf中的这个变化会消除这个弱密码问题吗？

Answer 1

Per 文档 (黑石矿)：

此复杂指令使用一个由OpenSSL密码规范组成的冒号分隔密码规范字符串来配置允许客户端在SSL握手阶段协商的密码套件。注意到这个指令可以在每个服务器和每个目录上下文中使用..

如果没有发布整个ssl.conf文件，就不可能知道发生了什么。

但我认为，在任何情况下，解决问题的答案都是在web服务器上可靠地配置SSL的最简单方法:直接从ssl.conf获取Mozilla SSL配置生成器值。它简单，可重复，并且有很好的文档记录。

放入系统的特定软件版本和所需的安全级别，您将获得一组配置设置，以放置在配置文件中。

该网站及其使用在Mozilla的安全/服务器端TLS页面上有完整的文档记录。

本文档的目标是帮助操作团队在服务器上配置TLS。所有Mozilla站点和部署都应遵循以下建议。 操作安全(OpSec)团队将此文档作为导航TLS的参考指南。它包含有关TLS协议、已知问题和漏洞、配置示例和测试工具的信息。变更由OpSec团队审查和合并，并向各个操作小组广播。 ..。 推荐配置 建议进行三种配置。根据观众的不同选择正确的配置。如果您不需要向后兼容性，并且只为现代客户端构建服务(post Firefox 27/Chrome 22)，那么使用现代配置。否则，更倾向于中间配置。只有当您的服务将被非常老的客户端(如Windows IE6 )或古老的库和机器人访问时，才使用旧的向后兼容配置。 ..。