首页 » 网络应用 » SSLv3协议漏洞修复方法

澳门葡京官网

 

SSL3.0被曝出存在协议漏洞:“通过此漏洞可以窃取客户端与server端使用SSLv3加密通信的明文内容,危害严重”,目前官方暂无升级修复补丁和攻击利用方式公布。
 
最佳建议:“禁止使用SSLv3协议”,
 
可先使用openssl客户端检测是否支持SSLv3:

openssl s_client -ssl3 -connect [host]:443

如果服务器不支持SSLv3会返回类似下面的信息:

SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:/xx/src/ssl/s3_pkt.c:1125:SSL alert number 40
SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:/xx/src/ssl/s3_pkt.c:546:

【Nginx、Apache、IIS禁用SSLv3方法】:
 
Nginx:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:RC4-SHA:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!DSS:!PKS;
ssl_session_timeout 5m;
ssl_session_cache builtin:1000 shared:SSL:10m;

Apache:

SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:RC4-SHA:!aNULL:!MD5:!DSS

IIS:
请参考:http://support2.microsoft.com/kb/187498/en-us
  或:http://support2.microsoft.com/kb/187498/zh-cn
进行手工修复,或者使用fix it向导进行修复。
 
修改完后,Linux重启Web服务即可,Windwos需要重新启动计算机。

原文链接:SSLv3协议漏洞修复方法,转载请注明来源!

2