tls和ssl

一个存在于 SSL 3.0 协议中的新漏洞于被披露，通过此漏洞，第三方可以拦截通过采用 SSL 3.0 的服务器传输的重要信息。

问题出在哪里？

与此问题相关的不是 SSL 证书本身，而是进行加密处理时所采用的协议版本。SSL 3.0 协议被发现存在漏洞，通过该漏洞，攻击者可以获得密

码和浏览记录之类的个人信息。

虽然 SSL 3.0 推出已经 18 年了，而且 15 年前就有了更安全的 TLS 协议，SSL 3.0 仍在广泛使用中。要实现安全加密，必须完全禁用 SSL 

3.0，以防止降级攻击。

如何应对？

作为服务器管理员，您需要按照下列步骤操作：

1. 查看是否您的服务器配置为允许通过 SSL 3.0 通信。您可以执行如下 OpenSSL  命令来查看服务器配置：

openssl s_client -ssl3 -connect [host]:[port]

如果 SSL 3.0 被禁用，您将看到此通知：

SSL routines:SSL3_READ_BYTES:sslv3 alert handshakefailure:/xx/src/ssl/s3_pkt.c:xxxx:SSL alert number 　　
40SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:/xx/src/ssl/s3_pkt.c:xxx:

2. 完全禁用 SSL 3.0

3. 只启用 TLS 1.0 及以上级别安全协议

关于如何在各主流服务器中禁用 SSL 3.0，您可以参考下面链接中的帮助和说明：

Apache：http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslprotocol

Nginx：http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl _protocols

IIS：http://support2.microsoft.com/kb/187498

网站用户也应对浏览器进行配置，不允许通过 SSL 3.0 通信。主要的浏览器供应商正计划在接下来的版本中将此项设为默认，所以请确保及时

更新为最新版本的浏览器，并定期与您的供应商联系以获得最新信息。

参考资料

利用 SSL 3.0 回退：https://www.openssl.org/~bodo/ssl-poodle.pdf

微软安全报告 3009008：https://technet.microsoft.com/en-us/library/security/3009008
顶
0
踩