老威seo

ssl poodle[贵宾犬]漏洞的解决办法-凯发k8官方网娱乐官方

老威 2018年04月23日 互联网杂谈 7035 0

最近老威做了几个https协议的站,本来对ssl这东西不是很懂,全站重定向到https后,检测网站的时候出来一大堆漏洞,其中包括ssl poodle,俗称“贵宾犬”漏洞,此漏洞是针对ssl3.0中cbc模式加密算法的一种padding oracle攻击,可以让攻击者获取ssl通信中的部分信息明文,如果将明文中的重要部分获取了,比如cookie,session,则信息的安全出现了隐患。虽然我做seo的时间也不短了,但是安全这方面平时还真不怎么接触,这几天把ssl的漏洞研究了一个遍,还好没白下功夫,网站安全分数已经接近满分。

ssl poodle漏洞怎么解决

如何检测网站漏洞

可以是通过https在线检测工具https://myssl.com/或者https://wosign.ssllabs.com/来进行检测。

ssl poodle(贵宾犬)漏洞的修复措施:

禁用sslv3协议

不同的web server不尽相同。这边列举主流的服务器的禁用方式(ps:套件版本过低可能会导致无法启用新型加密套件跟算法,请升级到最新版本)


nginx服务器:

(openssl1.0.1 版本支持tls1.1和tls1.2协议)

ssl_protocols tlsv1 tlsv1.1 tlsv1.2; 
ssl_ciphers aesgcm:all:!dh:!export:!rc4: high:!medium:!low:!anull:!enull;


apache服务器:

(openssl1.0.1 版本支持tls1.1和tls1.2协议)

apache2.x版本:

sslprotocol  all -sslv2 -sslv3
sslciphersuite all:!dh:!export:!rc4: high:!medium:!low:!anull:!enull


tomcat服务器:

(先备份再配置,低版本的配置后有启动不了的风险,请升级tomcat和jdk版本,jdk1.7及以上支持tls1.2协议)

tomcat 6 (prior to 6.0.38)


tomcat 7 and later

  < connector port="443" protocol="org.apache.coyote.http11.http11protocol"
               maxthreads="150" sslenabled="true" scheme="https" secure="true"
               keystorefile="keystore/ssl.jks"  keystorepass="证书密码"
               clientauth="false" sslenabledprotocols="tlsv1,tlsv1.1,tlsv1.2"
               ciphers="tls_rsa_with_aes_128_cbc_sha,
                               tls_ecdhe_rsa_with_aes_128_cbc_sha,
                               tls_rsa_with_aes_128_cbc_sha256,
                               tls_ecdhe_rsa_with_aes_128_cbc_sha256,
                               tls_rsa_with_3des_ede_cbc_sha,
                               tls_ecdhe_rsa_with_3des_ede_cbc_sha" />


使用apr的tomcat(windows环境路径请使用“\”)


iis服务器:

使用我们的套件工具,按照如下图进行修复。

下载地址:

windows server 2008 http://www.wosign.com/download/iiscrypto.exe

windows server 2012 https://www.nartac.com/downloads/iiscrypto/iiscrypto40.exe

备注:windows server 2003不支持tls1.1和1.2请升级至2008 r2或2012

ssl poodle漏洞解决办法

本文为老威seo博客原创文章,欢迎各位转载,转载请保留或注明出处!


发布评论

分享到:

老威seo

我的微信号:weiweiwei0725(左侧二维码扫一扫)欢迎添加!

你是第一个吃螃蟹的人