SSL/TLS 服務器瞬時 Diffie-Hellman 公共密鑰過弱【原理掃描】

詳細描述：

當服務器SSL/TLS的瞬時Diffie-Hellman公共密鑰小於等於1024位時，存在可以恢複純文本信息的風險。

解決方法：

在配置視圖下通過命令ssl server-policy policy-name進入服務器端策略視圖，修改SSL加密套件，選中不含DHE字段的算法，使其不再包含DH算法。

<H3C>system-view

[H3C]ssl server-policy test

[H3C-ssl-server-policy-test]ciphersuite ?

  dhe_rsa_aes_128_cbc_sha 

  dhe_rsa_aes_256_cbc_sha

  exp_rsa_des_cbc_sha

  exp_rsa_rc2_md5

  exp_rsa_rc4_md5

  rsa_3des_ede_cbc_sha

  rsa_aes_128_cbc_sha

  rsa_aes_256_cbc_sha

  rsa_des_cbc_sha

  rsa_rc4_128_md5

  rsa_rc4_128_sha

[H3C]display ssl server-policy test

 SSL server policy: test

     PKI domain:

     Ciphersuites:

         RSA_AES_128_CBC_SHA

         RSA_DES_CBC_SHA

         RSA_RC4_128_MD5

         RSA_RC4_128_SHA

         RSA_3DES_CBC_SHA

         RSA_AES_256_CBC_SHA

         EXP_RSA_RC4_MD5

         RSA_RC2_CBC_MD5

         EXP_RSA_DES_CBC_SHA

     Session cache size: 500

     Caching timeout: 3600 seconds

     Client-verify: Disabled

然後禁用當前對外提供的SSL服務，如HTTPS。

[H3C] undo ip https enable  

[H3C] undo ip http enable

配置SSL服務如HTTPS，引用前麵定義的服務端策略

[H3C] ip https ssl-server-policy test

重新使能SSL功能，如HTTPS服務，

[H3C] ip https enable  

[H3C] ip http enable

如果設備開啟了sslvpn功能，需要進入相應的ssl server-policy裏麵，去除帶DHE字段的加密算法，然後進入設備配置的sslvpn context視圖重啟context。

[H3C -sslvpn-context-sslvpn]undo service enable，

[H3C -sslvpn-context-sslvpn]service enable，

之後在係統視圖下，重啟https服務。

[H3C]undo ip http enable

[H3C]undo ip https enable

[H3C]ip http enable

[H3C]ip https enable