修復DES和Triple DES 信息泄露漏洞(CVE-2016-2183)

今天收到雲主機廠商發來的安全漏洞掃描信息，提示我公網主機有DES和Triple DES 信息泄露漏洞(CVE-2016-2183)的漏洞要求修復。
漏洞詳細描述：
TLS（Transport Layer Security，安全傳輸層協議）是一套用於在兩個通訊應用程序之間提供保密性和數據完整性的協議。SSH（全稱Secure Shell）是國際互聯網工程任務組（IETF）的網絡小組（Network Working Group）所制定的一套建立在應用層和傳輸層基礎上的安全協議。IPSec（全稱InternetProtocolSecurity）是國際互聯網工程任務組（IETF）的IPSec小組創建的一組IP安全協議集。DES和Triple DES都是加密算法。;TLS、SSH和IPSec協議和其它協議及產品中使用的DES和Triple DES密碼算法存在安全漏洞。遠程***者可經過實施生日***利用該漏洞獲取明文數據。
安全報告提供的修復建議：
目前廠商已經發布了升級補丁以修復此安全問題，補丁獲取連接：https://www.openssl.org/blog/blog/2016/08/24/sweet32/
經過補丁進行修復顯然不現實，相關的證書已經生成了。因而想經過禁用DES相關的內容來達到修復的目的
檢查配置：
根據描述爲443端口暴露出來的，這個端口是服務器正常提供https服務的端口，使用nginx進行配置並提供服務。
其中關於nginx的ssl配置：
ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";
發現裏面確實有關於DES的配置項，
刪除掉上面的ECDHE-RSA-DES-CBC3-SHA EDH-RSA-DES-CBC3-SHA DES-CBC3-SHA的相關內容。保留!DES的選項。
ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";
而後從新啓動nginx
驗證方法：
nmap -sV --script ssl-enum-ciphers -p 443 www.example.com 域名改成你本身的域名便可。