SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱【原理扫描】

详细描述：

当服务器SSL/TLS的瞬时Diffie-Hellman公共密钥小于等于1024位时，存在可以恢复纯文本信息的风险。

解决方法：

在配置视图下通过命令ssl server-policy policy-name进入服务器端策略视图，修改SSL加密套件，选中不含DHE字段的算法，使其不再包含DH算法。

<H3C>system-view

[H3C]ssl server-policy test

[H3C-ssl-server-policy-test]ciphersuite ?

  dhe_rsa_aes_128_cbc_sha 

  dhe_rsa_aes_256_cbc_sha

  exp_rsa_des_cbc_sha

  exp_rsa_rc2_md5

  exp_rsa_rc4_md5

  rsa_3des_ede_cbc_sha

  rsa_aes_128_cbc_sha

  rsa_aes_256_cbc_sha

  rsa_des_cbc_sha

  rsa_rc4_128_md5

  rsa_rc4_128_sha

[H3C]display ssl server-policy test

 SSL server policy: test

     PKI domain:

     Ciphersuites:

         RSA_AES_128_CBC_SHA

         RSA_DES_CBC_SHA

         RSA_RC4_128_MD5

         RSA_RC4_128_SHA

         RSA_3DES_CBC_SHA

         RSA_AES_256_CBC_SHA

         EXP_RSA_RC4_MD5

         RSA_RC2_CBC_MD5

         EXP_RSA_DES_CBC_SHA

     Session cache size: 500

     Caching timeout: 3600 seconds

     Client-verify: Disabled

然后禁用当前对外提供的SSL服务，如HTTPS。

[H3C] undo ip https enable  

[H3C] undo ip http enable

配置SSL服务如HTTPS，引用前面定义的服务端策略

[H3C] ip https ssl-server-policy test

重新使能SSL功能，如HTTPS服务，

[H3C] ip https enable  

[H3C] ip http enable

如果设备开启了sslvpn功能，需要进入相应的ssl server-policy里面，去除带DHE字段的加密算法，然后进入设备配置的sslvpn context视图重启context。

[H3C -sslvpn-context-sslvpn]undo service enable，

[H3C -sslvpn-context-sslvpn]service enable，

之后在系统视图下，重启https服务。

[H3C]undo ip http enable

[H3C]undo ip https enable

[H3C]ip http enable

[H3C]ip https enable