tls和ssl

一個存在於 SSL 3.0 協議中的新漏洞於被披露，經過此漏洞，第三方能夠攔截經過採用 SSL 3.0 的服務器傳輸的重要信息。

問題出在哪裏？
 
與此問題相關的不是 SSL 證書自己，而是進行加密處理時所採用的協議版本。SSL 3.0 協議被發現存在漏洞，經過該漏洞，攻擊者能夠得到密


碼和瀏覽記錄之類的我的信息。
 
雖然 SSL 3.0 推出已經 18 年了，並且 15 年前就有了更安全的 TLS 協議，SSL 3.0 仍在普遍使用中。要實現安全加密，必須徹底禁用 SSL 

3.0，以防止降級攻擊。
 
如何應對？
 
做爲服務器管理員，您須要按照下列步驟操做：
 
1. 查看是否您的服務器配置爲容許經過 SSL 3.0 通訊。您能夠執行以下 OpenSSL  命令來查看服務器配置：
 
openssl s_client -ssl3 -connect [host]:[port]
 
若是 SSL 3.0 被禁用，您將看到此通知：
 
SSL routines:SSL3_READ_BYTES:sslv3 alert handshakefailure:/xx/src/ssl/s3_pkt.c:xxxx:SSL alert number 　　
40SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:/xx/src/ssl/s3_pkt.c:xxx:
 
2. 徹底禁用 SSL 3.0
 
3. 只啓用 TLS 1.0 及以上級別安全協議
 
關於如何在各主流服務器中禁用 SSL 3.0，您能夠參考下面連接中的幫助和說明：
 
Apache：http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslprotocol
 
Nginx：http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl _protocols
 
IIS：http://support2.microsoft.com/kb/187498
 
網站用戶也應對瀏覽器進行配置，不容許經過 SSL 3.0 通訊。主要的瀏覽器供應商正計劃在接下來的版本中將此項設爲默認，因此請確保及時

更新爲最新版本的瀏覽器，並按期與您的供應商聯繫以得到最新信息。
 
參考資料
 
利用 SSL 3.0 回退：https://www.openssl.org/~bodo/ssl-poodle.pdf
 
微軟安全報告 3009008：https://technet.microsoft.com/en-us/library/security/3009008
頂
0
踩