网站安装了SSL证书,切换成https协议的站点,用站长工具查询的时候,SSL证书一栏提示不安全的https,如下图所示。
作为一个搞技术的人来说,肯定不能放过这个不友好的问题。点击进去详细页后,能看到评测报告,发现里面有相关的提示信息。
我们可以看到导致报“不安全的https”的主要原因是PCI DSS这项的问题。下面橙色字体部分也进行了详细的提示,“服务器易受到CVE-2016-2107漏洞攻击,降级为2”、“服务器支持弱Diffie-Hellman(DH)密钥交换参数,降级为6”。不同的站点,此处的提示也不一定相同。
今天我们主要解决“服务器易受到CVE-2016-2107漏洞攻击,降级为2”的为问题。
温馨提示:https://myssl.com/ 能查到更详细的测评信息。
1、问题原因
CVE-2016-2107 是 OpenSSL 1.0 的一个漏洞,也就是说明你的服务器中的OpenSSL版本过低,版本可以用 openssl version -a 命令查看。
2、解决办法
如上图“配置指南”中的提示所示:“需要在服务端TLS协议中启用TLS1.2,推荐配置:TLSv1 TLSv1.1 TLSv1.2 ;”。也就是升级OpenSSL即可,升级的办法就不详细介绍了,网上很多。
我已经升级到了 OpenSSL 1.1.0h ,如下图所示:
接着再次测试,就显示“安全https”了。
目前是6,还可以继续优化,不过总算是安全的绿色了。