快捷导航
14 43720

服务器SSL不安全漏洞修复方案

Benjie 于 2014-12-19 10:10 发表 置顶 [复制链接]
本帖最后由 wosign-support3 于 2018-11-16 16:49 编辑

关于SSL POODLE漏洞
POODLE = Padding Oracle On Downgraded Legacy Encryption.是最新安全漏洞(CVE-2014-3566)的代号,俗称“贵宾犬”漏洞。 此漏洞是针对SSL3.0中CBC模式加密算法的一种padding oracle攻击,可以让攻击者获取SSL通信中的部分信息明文,如果将明文中的重要部分获取了,比如cookie,session,则信息的安全出现了隐患。
从本质上说,这是SSL设计上的缺陷,SSL先认证再加密是不安全的。
  
如何检测漏洞
可以是通过在线检测工具https://wosign.ssllabs.com/来进行检测。

修复措施:
禁用sslv3协议
不同的web server不尽相同。这边列举主流的服务器的禁用方式

Nginx服务器:
注意:nginx和openssl套件版本过低可能会导致无法启用新型加密套件和算法,请升级最新版本。
(openssl1.0.1+版本支持TLS1.1和TLS1.2协议)
  1. ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  2. ssl_ciphers ECDH:AESGCM:HIGH:!RC4:!DH:!MD5:!aNULL:!eNULL;
  3. ssl_prefer_server_ciphers  on;
复制代码
apache服务器:
注意:apache和openssl套件版本过低可能会导致无法启用新型加密套件和算法,请升级最新版本。
(openssl1.0.1+版本支持TLS1.1和TLS1.2协议)

apache2.X版本:
  1. SSLProtocol  all -SSLv2 -SSLv3
  2. SSLCipherSuite ECDH:AESGCM:HIGH:!RC4:!DH:!MD5:!aNULL:!eNULL
  3. SSLHonorCipherOrder on
复制代码
Tomcat服务器:
JDK版本过低也会带来不安全漏洞,请升级JDK为最新版本。升级JDK风险请安按照系统升级风险酌情考虑。
(先备份再配置,低版本的配置后有启动不了的风险,请升级tomcat和jdk版本,JDK1.7及以上支持TLS1.2协议)
  1. <Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
  2.                maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
  3.      keystoreFile="keystore/domain.jks"  keystorePass="证书密码"
  4.                clientAuth="false" sslProtocol="TLS"
  5.                ciphers="TLS_RSA_WITH_AES_128_GCM_SHA256,
  6.                         TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
  7.                         TLS_RSA_WITH_AES_128_CBC_SHA,
  8.                         TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
  9.                         TLS_RSA_WITH_AES_128_CBC_SHA256,
  10.                         TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
  11.                         SSL_RSA_WITH_3DES_EDE_CBC_SHA,
  12.                         TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA" />
复制代码
使用apr的tomcat(windows环境路径请使用“\”,证书文件是for apache压缩包中的三个文件)
  1. <Connector port="443" maxHttpHeaderSize="8192"
  2.                maxThreads="150"
  3.                protocol="org.apache.coyote.http11.Http11AprProtocol"
  4.                enableLookups="false" disableUploadTimeout="true"
  5.                acceptCount="100" scheme="https" secure="true"
  6.                SSLEnabled="true"
  7.                SSLProtocol="all -SSLv2 -SSLv3"
  8.                SSLCertificateFile="conf/domian.com.crt"
  9.                SSLCertificateKeyFile="conf/domian.com.key"
  10.                SSLCertificateChainFile="conf/root_bundle.crt"
  11.                SSLCipherSuite="ECDH:AESGCM:HIGH:!RC4:!DH:!MD5:!aNULL:!eNULL" />
复制代码



IIS服务器:
使用我们的套件工具,按照如下图进行修复。
下载地址:
备注:windows server 2003不支持tls1.1和1.2请升级至2008 R2或2012
QQ截图20161028101538.jpg
根据图示进行选择,点击Best Practices,然后再点击Apply,完成后重启服务器。
对于其他平台的修复方式 可以参考其官方文档,或者联系我们。
123.jpg
举报 使用道具
| 回复

共 14 个关于服务器SSL不安全漏洞修复方案的回复 最后回复于 2018-11-1 16:17

Regan 版主 发表于 2014-12-19 10:25:19 | 显示全部楼层
这篇帖子写的极好,看了本宫要去测试一下了。
举报 使用道具
0721xsp 金牌会员 发表于 2014-12-19 10:34:41 | 显示全部楼层
终于不用修改注册表了
举报 使用道具
Jacky6100 中级会员 发表于 2014-12-19 10:35:42 | 显示全部楼层
这么厉害,就有对策啦,
举报 使用道具
Jacky6100 中级会员 发表于 2014-12-19 10:36:59 | 显示全部楼层
看来得赶紧联系你们技术来指导下了,
举报 使用道具
cs8@love 中级会员 发表于 2014-12-19 10:38:34 | 显示全部楼层
需要的伙伴可以参考!
举报 使用道具
Zoro 中级会员 发表于 2014-12-19 10:38:45 | 显示全部楼层
擦。。绝对的精华。建议置顶。。。。
举报 使用道具
wosign-support3 沃通技术支持 版主 发表于 2014-12-22 17:07:13 | 显示全部楼层
好帖,有需求的小伙伴可以来看一看
举报 使用道具
14911602-123 版主 发表于 2015-7-10 15:59:53 | 显示全部楼层
帖子更新太及时,火狐更新后,SSLV3和RC4算法在tomcat服务器总算知道怎么禁用了,顶一个。
举报 使用道具
wosign-support3 沃通技术支持 版主 发表于 2015-12-22 10:24:54 | 显示全部楼层
支持TLS1.1和1.2的不是2008操作系统 是2008 R2
举报 使用道具
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

发新帖

版块推荐百宝箱

快速回复 返回顶部 返回列表