服务器SSL不安全漏洞修复方案

转载 2016年06月01日 10:44:05

关于SSL POODLE漏洞
POODLE = Padding Oracle On Downgraded Legacy Encryption.是最新安全漏洞(CVE-2014-3566)的代号,俗称“贵宾犬”漏洞。 此漏洞是针对SSL3.0中CBC模式加密算法的一种padding oracle攻击,可以让攻击者获取SSL通信中的部分信息明文,如果将明文中的重要部分获取了,比如cookie,session,则信息的安全出现了隐患。
从本质上说,这是SSL设计上的缺陷,SSL先认证再加密是不安全的。

如何检测漏洞
可以是通过在线检测工具https://wosign.ssllabs.com/来进行检测。

修复措施:
禁用sslv3协议
不同的web server不尽相同。这边列举主流的服务器的禁用方式

Nginx服务器:
注意:nginx和openssl套件版本过低可能会导致无法启用新型加密套件和算法,请升级最新版本。
(openssl1.0.1+版本支持TLS1.1和TLS1.2协议)

ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
ssl_ciphers AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL;

复制代码
apache服务器:
注意:apache和openssl套件版本过低可能会导致无法启用新型加密套件和算法,请升级最新版本。
(openssl1.0.1+版本支持TLS1.1和TLS1.2协议)

apache2.X版本:

SSLProtocol  all -SSLv2 -SSLv3
SSLCipherSuite AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL

Tomcat服务器:
JDK版本过低也会带来不安全漏洞,请升级JDK为最新版本。升级JDK风险请安按照系统升级风险酌情考虑。
(先备份再配置,低版本的配置后有启动不了的风险,请升级tomcat和jdk版本,JDK1.7及以上支持TLS1.2协议)

Tomcat 6 (prior to 6.0.38)

<Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
     keystoreFile="keystore/domain.jks"  keystorePass="证书密码"
               clientAuth="false" sslProtocols="TLSv1,TLSv1.1,TLSv1.2"
                ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,
                                TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
                                TLS_RSA_WITH_AES_128_CBC_SHA256,
                                TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
                                TLS_RSA_WITH_3DES_EDE_CBC_SHA,
                                TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA" />

Tomcat 7 and later


  < Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               keystoreFile="keystore/SSL.jks"  keystorePass="证书密码"
               clientAuth="false" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
               ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,
                               TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
                               TLS_RSA_WITH_AES_128_CBC_SHA256,
                               TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
                               TLS_RSA_WITH_3DES_EDE_CBC_SHA,
                               TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA" />

使用apr的tomcat(windows环境路径请使用“\”)

<Connector port="443" maxHttpHeaderSize="8192"
               maxThreads="150"
               protocol="HTTP/1.1"
               enableLookups="false" disableUploadTimeout="true"
               acceptCount="100" scheme="https" secure="true"
               SSLEnabled="true"
               sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
               SSLCertificateFile="conf/2_domian.com.crt"
               SSLCertificateKeyFile="conf/3_domian.com.key"
               SSLCertificateChainFile="conf/1_root_bundle.crt" />

IIS服务器:
使用我们的套件工具,按照如下图进行修复。
下载地址:
windows server 2008 http://www.wosign.com/download/IISCrypto.exe
windows server 2012 https://www.nartac.com/Downloads/IISCrypto/IISCrypto40.exe
备注:windows server 2003不支持tls1.1和1.2请升级至2008 R2或2012
这里写图片描述
根据图示进行选择,修改完成后重启服务器。

修复SSL3.0漏洞

一个存在于 SSL 3.0 协议中的新漏洞于被披露,通过此漏洞,第三方可以拦截通过采用 SSL 3.0 的服务器传输的重要信息。   问题出在哪里?   与此问题相关的不是 SSL 证书本身,而是...
  • QQ282030166
  • QQ282030166
  • 2015年03月09日 13:35
  • 5934

禁用sslv3协议

原文: http://www.fjssc.cn/html/news/2014/1015/150.html
  • gongfusz
  • gongfusz
  • 2015年06月06日 17:07
  • 465

IIS7.0 禁用SSL 2.0 和 SSL 3.0 协议

Windows Server 2008 /2012中使用IIS 7 /8默认允许SSL 2.0和SSL 3.0,下面介绍怎样关闭不安全的SSL 2.0 和SSL3.0 协议。 1、单击开始...
  • zilie972803341
  • zilie972803341
  • 2015年01月30日 09:56
  • 1844

SSL/TLS Suffers ‘Bar Mitzvah Attack’漏洞检测方法及修复建议

http://www.ijiandao.com/safe/cto/12195.html 0x01 前言 愚人节即将到来,SSL再次因Bar Mitzvah Attack漏洞弄的大家不得安宁...
  • xysoul
  • xysoul
  • 2015年11月27日 14:07
  • 1728

[055] SSL 3.0曝出Poodle漏洞的解决方案-----开发者篇

SSL 3.0曝出高危险漏洞 2014年10月15日,Google研究人员公布SSL 3.0协议存在一个非常严重的漏洞,更让人不安的是几乎所有的浏览器都支持SSL 3.0协议。SSL 3.0的漏洞可被...
  • lyq8479
  • lyq8479
  • 2014年11月03日 02:10
  • 24452

tomcat中server.xml中sslProtocol="TLS"含义,关闭SSLv3

refurl:http://zhidao.baidu.com/link?url=gO88GYoDlkZIAwKgtb4Qau6O59rC8R7RCBEQhJ3DpObrIxbJXK3CmqrfxaC_...
  • jackpk
  • jackpk
  • 2015年08月25日 16:56
  • 15041

全面讲解Tomcat下SSL证书的配置(五)

Tomcat下具体的配置Tomcat下关于使用SSL证书的配置可以分为三部分 1.启用SSL,使用Tomcat Java平台自身的SSL功能; 2.启用SSL,通过apr协议调用openssl的S...
  • JohnLongYuan
  • JohnLongYuan
  • 2015年09月23日 22:23
  • 6938

使用OpenSSL生成IIS可用的SHA-256自签名证书

使用OpenSSL生成IIS可用的SHA-256自签名证书好吧,2017年iOS就开始强制开启ATS了,那么所有的网站、API、网页、资源路径等都需要使用TLS1.2以上的标准了! 自签名证书已经不...
  • wuwo333
  • wuwo333
  • 2016年11月03日 12:45
  • 5822

升级OpenSSL修复高危漏洞Heartbleed

升级OpenSSL修复高危漏洞Heartbleed 背景:          OpenSSL全称为Secure Socket Layer,是Netscape所研发,利用数据加密(Encryption)...
  • wuweilong
  • wuweilong
  • 2014年06月08日 09:42
  • 15953

tomcat 加密数据源配置

配置数据源 1) 配置位置 可以选择以下位置中的Context>标签中进行配置 %TOMCAT_HOME%\conf\server.xml。 %TOMCAT_HOME%\con...
  • lizehua123
  • lizehua123
  • 2016年01月10日 10:10
  • 3247
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:服务器SSL不安全漏洞修复方案
举报原因:
原因补充:

(最多只允许输入30个字)