詳細描述

安全套接層（Secure Sockets Layer，SSL），一種安全協議，是網景公司（Netscape）在推出Web瀏覽器首版的同時提出的，目的是為網絡通信提供安全及數據完整性。SSL在傳輸層對網絡連接進行加密。傳輸層安全（Transport Layer Security），IETF對SSL協議標準化（RFC 2246）后的產物，與SSL 3.0差異很小。 SSL/TLS內使用的RC4算法存在單字節偏差安全漏洞，可允許遠程攻擊者通過分析統計使用的大量相同的明文會話，利用此漏洞恢復純文本信息。

解決辦法

建議：避免使用RC4算法

1、禁止apache服務器使用RC4加密算法

vi /etc/httpd/conf.d/ssl.conf

修改為如下配置

SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4

重啟apache服務

2、關于lighttpd加密算法 （lighttpd禁用RC4加密算法）

在配置文件lighttpd.conf中禁用RC4算法，例如： 

ssl.cipher-list = "EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4" 

重啟lighttpd 服務。

3、Windows系統建議參考官網鏈接修復：（Windows禁用RC4加密算法）

https://support.microsoft.com/en-us/help/2868725/microsoft-security-advisory-update-for-disabling-rc4

如何完全禁用 RC4：

筆記

• 在進行以下注冊表更改以完全禁用 RC4 之前，您必須安裝此安全更新 (2868725)。

• 此安全更新適用于本文中列出的 Windows 版本。但是，此注冊表設置也可用于在較新版本的 Windows 中禁用 RC4。（比如windows 2012R2不需要下載補丁，可以直接在注冊表禁用RC4）

無論對方支持的密碼如何，都不想使用 RC4 的客戶端和服務器可以通過設置以下注冊表項來完全禁用 RC4 密碼套件。以這種方式，任何與必須使用 RC4 的客戶端或服務器通信的服務器或客戶端都可以阻止連接發生。部署此設置的客戶端將無法連接到需要 RC4 的站點，部署此設置的服務器將無法為必須使用 RC4 的客戶端提供服務。

• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
  "Enabled"=dword:00000000

• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
  "Enabled"=dword:00000000

• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
  "Enabled"=dword:00000000

============================================================================

打開注冊表：win+R 鍵入 regedit

找到上面更改的相應位置

如果Ciphers目錄下沒有RC4 128/128、RC4 40/128、RC4 56/128

我們可以新建

Please create below RC4 folders in the registry path shown below. Set Enabled = 0.

============================================================================

其他應用程序如何阻止使用基于 RC4 的密碼套件

默認情況下，所有應用程序都不會關閉 RC4。直接調用 SChannel 的應用程序將繼續使用 RC4，除非它們選擇加入安全選項。使用 SChannel 的應用程序可以通過將 SCH_USE_STRONG_CRYPTO 標志傳遞給 SCHANNEL_CRED 結構中的 SChannel 來阻止 RC4 密碼套件進行連接。如果必須保持兼容性，使用 SChannel 的應用程序也可以實現不傳遞此標志的回退。

 參考鏈接

https://support.microsoft.com/en-us/topic/microsoft-security-advisory-update-for-disabling-rc4-479fd6f0-c7b5-0671-975b-c45c3f2c0540

https://social.technet.microsoft.com/Forums/en-US/faad7dd2-19d5-4ba0-bd3a-fc724d234d7b/how-to-diable-rc4-is-windows-2012-r2?forum=winservergen

https://docs.microsoft.com/zh-CN/troubleshoot/windows-server/windows-security/restrict-cryptographic-algorithms-protocols-schannel