SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】

[zhaozhihua2008]

配置了https证书后，扫描有漏洞。。。

[nirui]

Go标准库里的HTTP服务器在默认状况下会包含使用DES和3DES的Cipher，这些Cipher已经被建议弃用，你的扫描器大概对此作出了警示。

在现实情况下，你的浏览器会依照你系统的状况选择一个最合适的Cipher，而DES/3DES这样被弃用的Cipher即使被服务器提供，大概也不会被浏览器选中，因此不会对用户的连接安全有任何实际的影响（除非用户仍然在使用极其老旧的设备，没有其他选择）。

（你还可以参考下这里的讨论：https://github.com/golang/go/issues/41476）

如果你依然担心的话，我已经在 5d4c387 里去除了使用DES和3DES的Cipher。变更将随着下一个版本发布。

[nirui]

上述变更已经随 0.2.19-beta 发布。我这边先关闭这个Issue，如果仍然存在相关问题，请将其重新打开。

[zhaozhihua2008]

非常感谢。我是直接使用程序制定了TLSCertificateFile等参数，开启https接口。漏洞扫描就有问题。现在我换成程序开启http接口。然后nginx代理封装成https接口就没漏洞问题了。