禁用SSLv3 协议[多图]

前言

由于SSLv3协议遭到越来越多的攻击，尤其是最近的Poodle攻击，很多客户都考虑在服务器端关闭SSLv3的通信协议，所以我们整理了一下几种常见的WEB服务器上关闭SSLv3的方法（包含关闭SSLv2）。

要注意的是：IE6 缺省状态是不支持TLS协议的，所以如果客户端还有IE6浏览器的，请慎重考虑是否关闭。

检测一个网站是否没有关闭SSLv3,可以使用官方工具：

Apache

SSLEngine on SSLCertificateFile server.crt SSLCertificateKeyFile server.key SSLCertificateChainFile chain.crt

Nginx

ssl on; ssl_certificate server.crt; ssl_certificate_key server.key; ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Tomcat

<!-- Tomcat 5 到 Tomcat 6.0.38的版本> <Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" clientAuth="false" SSLProtocols = "TLSv1,TLSv1.1,TLSv1.2" /> <!-- Tomcat 6.0.38 以后的版本 --> <Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" clientAuth="false" SSLEnabledProtocols = "TLSv1,TLSv1.1,TLSv1.2"/> <!—使用APR的TOMCAT --> <Connector protocol="org.apache.coyote.http11.Http11AprProtocol" port="8443" minSpareThreads="5" maxSpareThreads="75" >

Windows IIS 服务器端

1. 点击“开始”—“运行”，输入 “Regedit”，点击OK.
2. 在注册表中寻找：
3. “HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server”
4. 如果在Protocols下没有“SSL 3.0”选项，请依次新建“SSL 3.0”和“Server”项。
5. 新建一个DWORD值。
6. 在名称中，输入“Enabled”。
7. 双击这个值，在数值数据中，输入“0”。
8. 点击OK，退出注册表编辑器，然后重启电脑。
9. 如果要禁用SSLv2，只需要将上面SSL 3.0改成SSL 2.0，其他照样操作一次即可。

客户端

1. 点击“开始”—“运行”，输入 “Regedit”，点击OK.
2. 在注册表中寻找：
   

   “HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client”

3. 如果在Protocols下没有“SSL 3.0”选项，请依次新建“SSL 3.0”和“Client”项。
4. 新建一个DWORD值。
5. 在名称中，输入“Enabled”。
6. 双击这个值，在数值数据中，输入“0”。
7. 点击OK，退出注册表编辑器，然后重启电脑。
8. 如果要禁用SSLv2，只需要将上面SSL 3.0改成SSL 2.0，其他照样操作一次即可。

BIG-IP

在命令终端运行以下命令：

[root@bigip1:Active:Standalone] templates # tmsh modify /sys httpd ssl-protocol "all -SSLv2 -SSLv3"