帮助中心
热搜关键词: CDN 云服务器 ssl 快云VPS 云数据库 云存储
帮助中心首页 > SSL证书  > SSL常见问题  >  服务器SSL不安全漏洞修复方案

服务器SSL不安全漏洞修复方案

作者:景安网络帮助中心发布时间:2016-02-02浏览次数:1301
关于SSL POODLE漏洞
POODLE = Padding Oracle On Downgraded Legacy Encryption.是最新安全漏洞(CVE-2014-3566)的代号,俗称“贵宾犬”漏洞。 此漏洞是针对SSL3.0中CBC模式加密算法的一种padding oracle攻击,可以让攻击者获取SSL通信中的部分信息明文,如果将明文中的重要部分获取了,比如cookie,session,则信息的安全出现了隐患。
从本质上说,这是SSL设计上的缺陷,SSL先认证再加密是不安全的。
如何检测漏洞
可以是通过在线检测工具https://wosign.ssllabs.com/来进行检测。

修复措施:
禁用sslv3协议
不同的web server不尽相同。这边列举主流的服务器的禁用方式

Nginx服务器:
注意:nginx和openssl套件版本过低可能会导致无法启用新型加密套件和算法,请升级最新版本。
(openssl1.0.1+版本支持TLS1.1和TLS1.2协议)

  1. ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

  2. ssl_ciphers ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:-LOW:!aNULL:!eNULL;


复制代码
apache服务器:
注意:apache和openssl套件版本过低可能会导致无法启用新型加密套件和算法,请升级最新版本。
(openssl1.0.1+版本支持TLS1.1和TLS1.2协议)

apache2.X版本:

  1. SSLProtocol  all -SSLv2 -SSLv3

  2. SSLCipherSuite ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL

复制代码
Tomcat服务器:
JDK版本过低也会带来不安全漏洞,请升级JDK为最新版本。升级JDK风险请安按照系统升级风险酌情考虑。
(先备份再配置,低版本的配置后有启动不了的风险,请升级tomcat和jdk版本,JDK1.7及以上支持TLS1.2协议)
Tomcat 6 (prior to 6.0.38)

  1. <Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol"

  2.               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"

  3.     keystoreFile="keystore/domain.jks"  keystorePass="证书密码"

  4.               clientAuth="false" sslProtocols="TLSv1,TLSv1.1,TLSv1.2"

  5.                ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,

  6.                                TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,

  7.                                TLS_RSA_WITH_AES_128_CBC_SHA256,

  8.                                TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,

  9.                                TLS_RSA_WITH_3DES_EDE_CBC_SHA,

  10.                                TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA" />

复制代码
Tomcat 7 and later

  1.  < Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol"

  2.               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"

  3.               keystoreFile="keystore/SSL.jks"  keystorePass="证书密码"

  4.               clientAuth="false" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"

  5.               ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,

  6.                               TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,

  7.                               TLS_RSA_WITH_AES_128_CBC_SHA256,

  8.                               TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,

  9.                               TLS_RSA_WITH_3DES_EDE_CBC_SHA,

  10.                               TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA" />

复制代码

使用apr的tomcat(windows环境路径请使用“\”)

  1. <Connector port="443" maxHttpHeaderSize="8192"

  2.               maxThreads="150"

  3.               protocol="HTTP/1.1"

  4.               enableLookups="false" disableUploadTimeout="true"

  5.               acceptCount="100" scheme="https" secure="true"

  6.               SSLEnabled="true"

  7.               sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"

  8.               SSLCertificateFile="conf/2_domian.com.crt"

  9.               SSLCertificateKeyFile="conf/3_domian.com.key"

  10.               SSLCertificateChainFile="conf/1_root_bundle.crt" />

复制代码

IIS服务器:
使用我们的套件工具,按照如下图进行修复。
下载地址:
windows server 2008 http://www.wosign.com/download/IISCrypto.exe
windows server 2012 https://www.nartac.com/Downloads/IISCrypto/IISCrypto40.exe
备注:windows server 2003不支持tls1.1和1.2请升级至2008 R2或2012

根据图示进行选择,修改完成后重启服务器。

对于其他平台的修复方式 可以参考其官方文档,或者联系我们。

(本文引用沃通)

100倍故障赔偿
免费备案
免费无忧服务
7x24小时服务

产品

核心竞争力

客户服务

诚意合作

关于景安

联系我们

关于我们 资质荣誉 付款方式 联系我们 新闻公告 投诉建议 网站地图 友情链接

© 2018 zzidc.com郑州市景安网络科技股份有限公司 版权所有 

公司地址:郑州市经济开发区经北三路第五大街交叉口通信产业园二层 业务总机:0371-9618961

公司地址:郑州 洛阳 长沙

景安网络用户注册协议     法律声明及隐私权政策    致景安用户的一封信

  • 联系销售
    很高兴为您服务
    开始售前咨询
    在线联系售前顾问,一对一解答
    企业上云服务咨询 APP/小程序/双语网建 AI大模型解决方案 DeepSeek一体机咨询 备案管家服务咨询 托管/智算/网安客服
    售后服务
    请添加我的企业微信
    为您提供1V1产品咨询,上云方案定制服务
    企业微信
  • 联系我们
    售前电话
    0371-9618961
    售后服务
     7*24获取专业工程师的帮助,快速解决你的问题
    聆听反馈
     您的建议我们会及时处理/反馈,非常感谢。
  • 请添加微信公众号
    扫码登录,业务提醒
    工单申报,优惠活动
    关注公众号