常见问题 ev-ssl-ask

您现在所在的位置 首页 > 常见问题 > 如何修复SSL POODLE漏洞

如何修复SSL POODLE漏洞

POODLE = Padding Oracle On Downgraded Legacy Encryption.是最新安全漏洞(CVE-2014-3566)的代号,俗称“贵宾犬”漏洞。 此漏洞是针对SSL3.0中CBC模式加密算法的一种padding oracle攻击,可以让攻击者获取SSL通信中的部分信息明文,如果将明文中的重要部分获取了,比如cookie,session,则信息的安全出现了隐患。
快来沃通申请一张免费ssl证书吧。
如何检测漏洞
可以是通过在线检测工具https://www.ssllabs.com/ssltest/ 来进行检测。
修复措施
禁用sslv3协议
不同的web server不尽相同。这边列举主流的服务器的禁用方式
Nginx
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
apache
SSLProtocol all -SSLv2 -SSLv3
IIS
使用我们的套件工具,下载地址:https://www.nartac.com/Products/IISCrypto/Default.aspx
如何修复SSL POODLE漏洞,SSL POODLE漏洞方法
根据图示进行选择,修改完成后重启服务器。
Tomcat
Tomcat 5 and 6 (prior to 6.0.38)
    <Connector port=”8443″ protocol=”org.apache.coyote.http11.Http11Protocol”
               maxThreads=”150″ SSLEnabled=”true” scheme=”https” secure=”true”
               clientAuth=”false” sslProtocols = “TLSv1,TLSv1.1,TLSv1.2” />
Tomcat 6 (6.0.38 and later) and 7
    <Connector port=”8443″ protocol=”org.apache.coyote.http11.Http11Protocol”
               maxThreads=”150″ SSLEnabled=”true” scheme=”https” secure=”true”
               clientAuth=”false” sslEnabledProtocols = “TLSv1,TLSv1.1,TLSv1.2” />
使用apr的tomcat
<Connector port=”443″ maxHttpHeaderSize=”8192″
               maxThreads=”150″
               enableLookups=”false” disableUploadTimeout=”true”
               acceptCount=”100″ scheme=”https” secure=”true”
               SSLEnabled=”true”
               SSLProtocol=”TLSv1″
               SSLCertificateFile=”${catalina.base}/conf/localhost.crt”
               SSLCertificateKeyFile=”${catalina.base}/conf/localhost.key” />
对于其他平台的修复方式 可以参考其官方文档,或者联系我们。
*注意事项:
Windows XP 系统下的 IE6 或以IE6作为内核的浏览器,默认不支持 SSL3.0以上的 加密协议。
若服务端关闭SSL3.0协议,需在此类客户端启用TLS 协议。
如何修复SSL POODLE漏洞,SSL POODLE漏洞方法