OpenSSL曝出新型漏洞"DROWN"，沃通發佈安全建議

據悉，外國研究人員發現OpenSSL出現新的安全漏洞"DROWN"，該漏洞將對SSL協議形成安全威脅，攻擊者有可能利用這個漏洞對https站點進行攻擊。沃通CA得知消息後，第一時間發佈安全建議，併爲SSL證書用戶提供檢測服務和技術諮詢，幫助用戶及時規避該漏洞可能形成的影響。

什麼是Drown漏洞

"DROWN"全稱是 Decrypting RSA with Obsolete and Weakened eNcryption，即"利用過期的脆弱加密算法來對RSA算法進破解"，指利用SSLv2協議漏洞來對TLS進行跨協議攻擊。

"DROWN攻擊"主要影響支持SSLv2的服務端和客戶端。SSLv2是一種古老的協議，許多客戶端已經不支持使用，但因爲配置上的問題，許多服務器仍然支持SSLv2。"DROWN"使得攻擊者能夠經過發送probe到支持SSLv2的使用相同密鑰的服務端和客戶端解密TLS通訊。例如：將相同的私鑰同時用在Web服務端和Email服務端，若是Email服務支持SSLv2，但web服務不支持，那麼攻擊者仍然可以利用EMAIL服務的SSLv2漏洞獲取到web服務器的TLS鏈接數據。

用戶能夠經過DROWN攻擊漏洞測試，測試本身的網站是否遭遇安全威脅，建議將各種站點都進行全面體檢。

沃通安全建議

首先，沃通CA建議用戶不要用相同的私鑰生成多張SSL證書，也不要將同一張SSL證書部署在多臺服務器上。雖然通配符型SSL證書支持全部子域名都使用同一張證書，能節省證書部署成本，可是爲了規避諸如"DROWN"攻擊之類的安全威脅，沃通CA建議在服務器上均部署獨立的SSL證書，這樣攻擊者將沒法利用其它服務器的漏洞，對關鍵服務器進行攻擊，即便其中一臺服務器出現問題也不會影響其餘服務器的正常運行。歡迎登陸沃通數字證書商店，爲您的全部重要應用服務器申請獨立的SSL證書。

其次，關閉全部服務器的SSLv2協議，參考如何禁用SSL2.0協議。

若是使用了OpenSSL，請參考OpenSSL官方給出的DROWN修復指南。

      原文地址：http://www.wosign.com/news/2016-0302-00.htm