前段时间对公司的网站进行了一下扫描，运用的是awvs扫描器，发现了几处SSL方面的安全缝隙，网上找了一些修正的主张，共享给我们，假如你也遇到和我相同的问题，可以用此修正。

Web网站的SSL缝隙首要包含如下几种：

修正主张我运用的是awvs官方引荐的修正主张，具体的总结为如下：

1、禁用SSL 2.0 and SSL 3.0

2、禁用 TLS 1.0 紧缩以及弱暗码

3、针对不同的web Server修正如下装备

针对OPENSSL，请运用如下装备：

ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH

+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5

Apache服务器装备攻略（mod_ssl）：

适用于Apache HTTP Server 2.2+/2.4+ with mod_ssl，装备文件apache/conf/extra/httpd-ssl.conf

SSLProtocol ALL -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5
SSLCompression Off

需求留意的是Redhat系列的Linux版别，或许要做如下装备：

关于部分apache版别，不支持SSLCompression Off的装备，或许需求在/etc/sysconfig/httpd文件中刺进OPENSSL_NO_DEFAULT_ZLIB=1装备来禁用ssl紧缩

Nginx服务器装备攻略：

ssl_prefer_server_ciphers On;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5;

需求留意的是nginx下，封闭TLS紧缩，或许和你运转的OpenSSL及nginx版别相关，假如你运用是OpenSSL 1.0上版别，nginx版别为1.1.6以上或者是1.0.9+ TLS紧缩默许便是封闭的。假如你运用的OpenSSL1.0以下版别，由有必要运用nginx 1.2.2+/1.3.2

原文地址：https://www.acunetix.com/blog/articles/tls-ssl-cipher-hardening/