三步應對OpenSSL新型漏洞DROWN

OpenSSL爆出新型安全漏洞，「DROWN」全稱是 Decrypting RSA with Obsolete and Weakened eNcryption，即「利用過期的脆弱加密算法來對RSA算法進破解」，指利用SSLv2協議漏洞來對TLS進行跨協議攻擊。該漏洞將對SSL協議形成安全威脅，攻擊者有可能利用這個漏洞對https站點進行攻擊。

「DROWN攻擊」主要影響支持SSLv2的服務端和客戶端。SSLv2是一種古老的協議，許多客戶端已經不支持使用，但因爲配置上的問題，許多服務器仍然支持SSLv2。「DROWN」使得攻擊者能夠經過發送probe到支持SSLv2的使用相同密鑰的服務端和客戶端解密TLS通訊。例如：將相同的私鑰同時用在Web服務端和Email服務端，若是Email服務支持SSLv2，但web服務不支持，那麼攻擊者仍然可以利用EMAIL服務的SSLv2漏洞獲取到web服務器的TLS鏈接數據。

SSL證書用戶可三步走，應對DROWN漏洞威脅：

首先，用戶能夠經過ssllabs體檢工具，測試本身的網站有沒有關閉SSL2.0協議，建議對web、Email等各種站點都進行全面體檢。參考資料：如何禁用SSL2.0協議。

其次，檢查網站是否存在相同私鑰生成的SSL證書，同時部署在多臺服務器上的狀況。沃通CA建議用戶不要用相同的私鑰生成多張SSL證書，也不要將同一張SSL證書部署在多臺服務器上。雖然通配符型SSL證書支持全部子域名都使用同一張證書，能節省證書部署成本，可是爲了規避諸如「DROWN」攻擊之類的安全威脅，建議在服務器上均部署獨立的SSL證書，這樣攻擊者將沒法利用其它服務器的漏洞，對關鍵服務器進行攻擊，即便其中一臺服務器出現問題也不會影響其餘服務器的正常運行。

若是使用了OpenSSL，請參考OpenSSL官方給出的DROWN修復指南：
使用了OpenSSL 1.0.2的用戶應該馬上將OpenSSL更新至1.0.2g
使用了OpenSSL 1.0.1的用戶應該馬上將OpenSSL更新至1.0.1s