服务器SSL不安全漏洞修复方案
关于SSL POODLE漏洞 POODLE = Padding Oracle On Downgraded Legacy Encryption.是最新安全漏洞(CVE-2014-3566)的代号,俗称“贵宾犬”漏洞。 此漏洞是针对SSL3.0中CBC模式加密算法的一种padding oracle攻击,可以让攻击者获取SSL通信中的部分信息明文,如果将明文中的重要部分获取了,比如cookie,session,则信息的安全出现了隐患。 从本质上说,这是SSL设计上的缺陷,SSL先认证再加密是不安全的。 如何检测漏洞 可以是通过在线检测工具https://www.ssllabs.com/来进行检测。 修复措施: 禁用sslv3协议 不同的web server不尽相同。这边列举主流的服务器的禁用方式 Nginx服务器: 注意:nginx和openssl套件版本过低可能会导致无法启用新型加密套件和算法,请升级最新版本。 (openssl1.0.1+版本支持TLS1.1和TLS1.2协议) apache服务器: 注意:apache和openssl套件版本过低可能会导致无法启用新型加密套件和算法,请升级最新版本。 (openssl1.0.1+版本支持TLS1.1和TLS1.2协议) apache2.X版本: Tomcat服务器: JDK版本过低也会带来不安全漏洞,请升级JDK为最新版本。升级JDK风险请安按照系统升级风险酌情考虑。 (先备份再配置,低版本的配置后有启动不了的风险,请升级tomcat和jdk版本,JDK1.7及以上支持TLS1.2协议) 使用apr的tomcat(windows环境路径请使用“\”) <Connector port="443" maxHttpHeaderSize="8192" maxThreads="150" enableLookups="false" disableUploadTimeout="true" acceptCount="100" scheme="https" secure="true" SSLEnabled="true" SSLProtocol="TLSv1,TLSv1.1,TLSv1.2" SSLCertificateFile="usr/home/tomcat/conf/localhost.crt" SSLCertificateKeyFile="usr/home/tomcat/conf/localhost.key" SSLCertificateChainFile="usr/home/tomcat/conf/1_root_bundle.crt" SSLCipherSuite="HIGH:!RC4:!DH:!MD5:!aNULL:!eNULL"/> IIS服务器: 使用我们的套件工具,按照如下图进行修复。 下载地址: windows server 2003 https://www.nartac.com/Downloads/IISCrypto/16build7/IISCrypto.exe windows server 2008 http://www.wosign.com/download/IISCrypto.exe windows server 2012 https://www.nartac.com/Downloads/IISCrypto/IISCrypto.exe 备注:windows server 2003不支持tls1.1和1.2请升级至2008 R2或2012  根据图示进行选择,修改完成后重启服务器。 对于其他平台的修复方式 可以参考其官方文档,或者联系我们。 |
- 数字证书 (DocSign证书)
- 代码签名证书
- S/MIME邮件证书
- PDF/Office文档签名证书
- 解决方案 (Solution)
- SSLCloud证书云监控
- MPKI SSL证书管理
- HTTPS全站加密
- 加密无处不在方案
- SSL证书安全评估
- HSTS防劫持
Copyright © 1998 - Gworg, Inc. All Rights Reserved. 江苏光网数字认证有限公司版权所有
苏ICP备15058404号 苏公网安备32058202010008号
