验证
openssl s_client -connect url:port
连接成功输入R进行重协商,若R重协商连接8次都没有断开则漏洞存在
解决方案:
- Apache: 禁止SSL renegotiation功能。对于Apache2.2.15以后的版本集成openssl,具体方法:
在配置文件中加入SSLInsecureRenegotiation off选项
- IIS :升级到IIS5.0以上的版本
- Lighttpd: 升级到1.4.30或更高版本,并设置ssl.disable-client-renegotiation=\”enable\”
- Nginx: 0.7.x 升级到0.7.64,0.8.x升级到0.8.23以及更高版本