服务器SSL不安全漏洞修复方案

关于SSL POODLE漏洞 POODLE = Padding Oracle On Downgraded Legacy Encryption.是最新安全漏洞(CVE-2014-3566)的代号,俗称“贵宾犬”漏洞。 此漏洞是针对SSL3.0中CBC模式加密算法的一种padding oracle攻击,可以让攻击者获取SSL通信中的部分信息明文,如果将明文中的重要部分获取了,比如cookie,session,则信息的安全出现了隐患。 从本质上说,这是SSL设计上的缺陷,SSL先认证再加密是不安全的。

如何检测漏洞 可以是通过在线检测工具https://wosign.ssllabs.com/来进行检测。

修复措施: 禁用sslv3协议 不同的web server不尽相同。这边列举主流的服务器的禁用方式

Nginx服务器: 注意:nginx和openssl套件版本过低可能会导致无法启用新型加密套件和算法,请升级最新版本。 (openssl1.0.1+版本支持TLS1.1和TLS1.2协议)

ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
ssl_ciphers AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL;

apache服务器: 注意:apache和openssl套件版本过低可能会导致无法启用新型加密套件和算法,请升级最新版本。 (openssl1.0.1+版本支持TLS1.1和TLS1.2协议) apache2.X版本:

SSLProtocol  all -SSLv2 -SSLv3
SSLCipherSuite AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL

Tomcat服务器: JDK版本过低也会带来不安全漏洞,请升级JDK为最新版本。升级JDK风险请安按照系统升级风险酌情考虑。 (先备份再配置,低版本的配置后有启动不了的风险,请升级tomcat和jdk版本,JDK1.7及以上支持TLS1.2协议) Tomcat 6 (prior to 6.0.38)

<connector port="443" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
     keystoreFile="keystore/domain.jks"  keystorePass="证书密码"
               clientAuth="false" sslProtocols="TLSv1,TLSv1.1,TLSv1.2"
                ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,
                                TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
                                TLS_RSA_WITH_AES_128_CBC_SHA256,
                                TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
                                TLS_RSA_WITH_3DES_EDE_CBC_SHA,
                                TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA"></connector>

Tomcat 7 and later

  < Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               keystoreFile="keystore/SSL.jks"  keystorePass="证书密码"
               clientAuth="false" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
               ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,
                               TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
                               TLS_RSA_WITH_AES_128_CBC_SHA256,
                               TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
                               TLS_RSA_WITH_3DES_EDE_CBC_SHA,
                               TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA" />

使用apr的tomcat(windows环境路径请使用“”)

<connector port="443" maxHttpHeaderSize="8192"
               maxThreads="150"
               protocol="HTTP/1.1"
               enableLookups="false" disableUploadTimeout="true"
               acceptCount="100" scheme="https" secure="true"
               SSLEnabled="true"
               sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
               SSLCertificateFile="conf/2_domian.com.crt"
               SSLCertificateKeyFile="conf/3_domian.com.key"
               SSLCertificateChainFile="conf/1_root_bundle.crt"></connector>

IIS服务器: 使用我们的套件工具,按照如下图进行修复。

下载地址: windows server 2008 http://www.wosign.com/download/IISCrypto.exe windows server 2012 https://www.nartac.com/Downloads/IISCrypto/IISCrypto40.exe 备注:windows server 2003不支持tls1.1和1.2请升级至2008 R2或2012

根据图示进行选择,修改完成后重启服务器。 原文地址:https://bbs.wosign.com/thread-1284-1-1.html

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏www.96php.cn

Ubuntu下为Apache配置ssl

启用 ssl 模块 vi /usr/local/apache/conf/httpd.conf 查找httpd-ssl将前面的#去掉。 2.安装openssl s...

6355
来自专栏拂晓风起

网站安全登录 web应用安全登录 密码 防截获

1563
来自专栏刺客博客

免费泛解析证书获取及后续安装方法

5125
来自专栏贺嘉的专栏

还有 13 天,苹果就要关上 HTTP 大门了

2017年1月1日以后,所有iOS需要访问网页的 App 都要面临一个问题:ATS(App Transport Security)。由于 ATS 要求 HTTP...

8.3K2
来自专栏十月梦想

NGINX服务器下配置SSL证书

  配置nginx服务器的ssl证书要去nginx目录下中conf文件夹下的nginx.conf中寻找server,找到监听443端口的server,把#打开(...

2713
来自专栏java思维导图

【思维导图】深入理解HTTPS原理、过程

我们经常会遇到页面被运营商插入小广告这种事情(数据被篡改),可想而知,HTTP是有多么不安全。 如何做到的? 答:只需要设定相应的DNS,做一个中间人攻击,再...

3775
来自专栏FreeBuf

影响所有Windows版本远程桌面(RDP)应用的CredSSP漏洞分析

在3月13号的微软补丁日中,由Preempt团队发现的Windows凭据安全支持提供协议(CredSSP)高危漏洞CVE-2018-0886被修复,该漏洞为逻辑...

5205
来自专栏mantou大数据

深入浅出JWT(JSON Web Token )

JSON Web Token(JWT)是一个开放式标准(RFC 7519),它定义了一种紧凑(Compact)且自包含(Self-contained)的方式,用...

63211
来自专栏FreeBuf

来自云端的木马:“百家”木马集团分析

0×00背景 近日,腾讯反病毒实验室拦截到一批伪装成客户通知单的木马,该木马会根据自身文件名的不同而进行多种不同的恶意行为,经测试,目前国内的多款杀毒软件尚不能...

2067
来自专栏信安之路

突破封闭 Web 系统的技巧之正面冲锋

在互联网安全服务公司乙方工作的人或者进行 SRC 众测等相关渗透测试时,经常碰到客户只给一个 "xxx信息管理系统"、"xxx平台"之类的一个 Web 登录界面...

1070

扫码关注云+社区

领取腾讯云代金券