tls和ssl

一个存在于 SSL 3.0 协议中的新漏洞于被披露，经过此漏洞，第三方能够拦截经过采用 SSL 3.0 的服务器传输的重要信息。

问题出在哪里？
 
与此问题相关的不是 SSL 证书自己，而是进行加密处理时所采用的协议版本。SSL 3.0 协议被发现存在漏洞，经过该漏洞，攻击者能够得到密


码和浏览记录之类的我的信息。
 
虽然 SSL 3.0 推出已经 18 年了，并且 15 年前就有了更安全的 TLS 协议，SSL 3.0 仍在普遍使用中。要实现安全加密，必须彻底禁用 SSL 

3.0，以防止降级攻击。
 
如何应对？
 
做为服务器管理员，您须要按照下列步骤操做：
 
1. 查看是否您的服务器配置为容许经过 SSL 3.0 通讯。您能够执行以下 OpenSSL  命令来查看服务器配置：
 
openssl s_client -ssl3 -connect [host]:[port]
 
若是 SSL 3.0 被禁用，您将看到此通知：
 
SSL routines:SSL3_READ_BYTES:sslv3 alert handshakefailure:/xx/src/ssl/s3_pkt.c:xxxx:SSL alert number 　　
40SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:/xx/src/ssl/s3_pkt.c:xxx:
 
2. 彻底禁用 SSL 3.0
 
3. 只启用 TLS 1.0 及以上级别安全协议
 
关于如何在各主流服务器中禁用 SSL 3.0，您能够参考下面连接中的帮助和说明：
 
Apache：http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslprotocol
 
Nginx：http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl _protocols
 
IIS：http://support2.microsoft.com/kb/187498
 
网站用户也应对浏览器进行配置，不容许经过 SSL 3.0 通讯。主要的浏览器供应商正计划在接下来的版本中将此项设为默认，因此请确保及时

更新为最新版本的浏览器，并按期与您的供应商联系以得到最新信息。
 
参考资料
 
利用 SSL 3.0 回退：https://www.openssl.org/~bodo/ssl-poodle.pdf
 
微软安全报告 3009008：https://technet.microsoft.com/en-us/library/security/3009008
顶
0
踩