[問題] reverse proxy server ssl 加密法認定問題

作者chan15 (ChaN)

看板Linux

標題[問題] reverse proxy server ssl 加密法認定問題

時間Thu Jul 12 16:23:25 2018

案主的 server 是該公司 MIS 切出來的一台 vm 客戶找外面公司針對網站做弱點掃描，發現 SSL 有開放 3DES 加密於是我去改了 ssl.conf，在 cipher 中禁止了 3DES 相關內容但重起後用網頁工具去掃描都還掃的到 https://cryptoreport.websecurity.symantec.com/checker/ https://www.ssllabs.com/ 自己用 nmap 去掃是沒有的 nmap --script ssl-enum-ciphers -p 443 127.0.0.1 後來改用另一台 server 執行 nmap 發現也有 nmap --script ssl-enum-ciphers -p 443 www.SAMPLE.com 於是確定了工具掃到的應該都是上一層 server 的設定，猜想應該是 reverse proxy 的內容所以產生了幾個問題請教 1. 假設 rps 的 ssl.conf 有允許 3DES，但我的 server 是沒有的，這樣到底有沒有開放 2. 遇到這樣的配置，要過安全掃描的話該怎麼解決 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 59.124.224.43 ※ 文章網址: https://www.ptt.cc/bbs/Linux/M.1531383812.A.46E.html

→ mmis1000: 只能去改reverse proxy的，因為外面只看得到他 07/12 18:20

→ soem: 1.的答案是有開放，reverse proxy是把request解開來再丟，所 07/13 02:02

→ soem: 以外面連線會看reverse proxy 07/13 02:03

→ chan15: 請教兩位，那 proxy 允許 3DES，vm 不允許，這樣到底 prox 07/14 13:25

→ chan15: y 傳過來的內容是什麼 07/14 13:25

→ chan15: 還是說這樣等於我 vm 的 ssl 根本沒作用 07/14 13:26

→ soem: 外部使用者看不到你VM的ssl，只有proxy看得到；然後proxy轉 07/15 00:01

→ soem: 一手用自己的設定重新加密過，再丟給外部使用者 07/15 00:02

→ soem: 對，沒錯，可以說沒什麼作用。可以保護內網的連線(不見得有 07/15 00:03

→ soem: 這種需求，看你的架構而定) 07/15 00:03