记一次 SSLTest 拿了 F 及其解决方法

好久没折腾服务器了,偶尔用 Qualys SSL Labs 做了个 SSL 测试,发现一不小心拿了 F。原因是 OpenSSL 在五月新爆出的一个漏洞 OpenSSL Padding Oracle vuln. (CVE-2016-2107),会导致信息传输中的不安全。

解决方法也很简单,将服务器升级至 OpenSSL 1.0.2h 即可。截至目前 Ubuntu 官方源里最新的 OpenSSL 版本依然是 1.0.2g,因需要自己手动从源码编译安装。


下载软件包并解包:

wget ftp://ftp.openssl.org/source/openssl-1.0.2h.tar.gz
tar -xvf openssl-1.0.2h.tar.gz
cd openssl-1.0.2h

编译:

./config --prefix=/usr --openssldir=/usr/lib/ssl --libdir=lib/x86_64-linux-gnu no-idea no-mdc2 no-rc5 no-zlib  enable-tlsext no-ssl2 enable-ec_nistp_64_gcc_128 enable-ec_nistp_64_gcc_128
make depend
sudo checkinstall

反正顺手,顺便把 Nginx 也从源码安装升了级。重启服务器后发现问题解决。

当然了,进一步优化是可以拿到 A+ 的。不过为什么不呢?

因为我懒