random tips on coding, ops, ...

禁用 SSLv2 支持

SSLv2 在协商密钥过程中所带的加密算法列表由于没有签名,因此可以被中间人替换 为较弱的加密算法,从而很容易被解密出明文。因此对SSL相关的应用最好都禁用SSLv2。

Apache 的配置如下:

SSLProtocol all -SSLv2 # 禁用 SSLv2
SSLCipherSuite HIGH:MEDIUM:!aNULL:!eNULL:!SSLv2 # 禁用弱密钥算法

用如下命令测试是否生效(应该连接失败):

$ openssl s_client -ssl2 -connect host:port

comments powered by Disqus