Nginx禁用3DES和DES弱加密算法

如何在Nginx和Tomcat服务器上禁用不安全的3DES和DES加密算法，以及更新SSL配置以使用更高级别的加密标准，确保网站通信的安全性。

在 Nginx 中禁用 3DES 和 DES 等弱加密算法，可以通过配置 ssl_ciphers 指令来实现。以下是具体步骤：

1：查看当前支持的加密套件

nginx -V 2>&1 | grep -o "openssl-[0-9\.]*"

2：修改 Nginx 配置文件

在 http、server 或 location 块中添加或修改 SSL 配置：

ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384';
ssl_prefer_server_ciphers on;

3：禁用特定算法的方法

方案一：使用 OpenSSL 标准名称（推荐）

ssl_ciphers 'HIGH:!aNULL:!MD5:!3DES:!DES:!RC4';

HIGH：包含高强度加密算法

!3DES：禁用 3DES

!DES：禁用 DES

!RC4：禁用 RC4（可选）

!aNULL：禁用匿名 DH 算法

!MD5：禁用 MD5（可选）

方案二：明确指定允许的算法

ssl_ciphers 'ECDHE+AESGCM:ECDHE+CHACHA20:DHE+AESGCM:DHE+CHACHA20:ECDH+AESGCM:DH+AESGCM';

4：完整配置示例

server {
    listen 443 ssl http2;
    server_name example.com;
    
    ssl_certificate /path/to/cert.pem;
    ssl_certificate_key /path/to/key.pem;
    
    # 禁用弱加密算法
    ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384';
    
    ssl_prefer_server_ciphers on;
    ssl_protocols TLSv1.2 TLSv1.3;
    
    # 其他配置...
}

5：验证配置

检查配置文件语法：

nginx -t

使用工具测试：

# 使用 OpenSSL 测试
openssl s_client -connect example.com:443 -cipher 'DES' -tls1_2

# 使用在线工具或以下命令
nmap --script ssl-enum-ciphers -p 443 example.com

重新加载配置：

nginx -s reload  # 或 systemctl reload nginx