谷歌於本週二披露了一個存在於 SSL 3.0 版本當中的安全漏洞。詳細信息請訪問:https://www.openssl.org/~bodo/ssl-poodle.pdf
什麼是SSL3.0Poodle漏洞 ?
SSL協議由美國 NetScape公司開發的,1996年發佈了V3.0版本。SSL 3.0 已經存在 15 年之久,目前絕大多數瀏覽器都支持該版本。通常用戶的瀏覽器都使用新版本的安全協議與服務器進行連接,爲了保持兼容性,當瀏覽器安全協議連接失敗的時候,就會轉而嘗試老版本的安全協議進行連接,其中就包括SSL 3.0。
Poodle***的原理,就是***故意製造安全協議連接失敗的情況,觸發瀏覽器的降級使用 SSL 3.0,然後使用特殊的手段,從 SSL 3.0 覆蓋的安全連接下提取到一定字節長度的隱私信息。
如何防範SSL3.0-Poodle漏洞?
建議您手動關閉客戶端SSLv3支持;或者關閉服務器SSLv3支持;或者兩者全部關閉,即可有效防範Poodle漏洞對您造成的影響。
關閉服務器SSLv3支持:
Nginx:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256
SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:DHE
RSA-AES128-SHA:RC4-SHA:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!DSS:!PKS;
ssl_session_timeout 5m;
ssl_session_cache builtin:1000 shared:SSL:10m;
Apache:
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256
SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:DHE
RSA-AES128-SHA:RC4-SHA:!aNULL:!MD5:!DSS
關閉客戶端SSLv3支持:
谷歌已表示chorme瀏覽器已經通過技術手段屏蔽瀏覽器自動降級至SSL3.0鏈接。手動關閉掉 SSL 3.0 支持的方法。
Windows 用戶:
1)完全關閉 Chrome 瀏覽器
2)複製一個平時打開 Chrome 瀏覽器的快捷方式
3)在新的快捷方式上右鍵點擊,進入屬性
4)在「目標」後面的空格中字段的末尾輸入以下命令 --ssl-version-min=tls1
Mac OS X 用戶:
1)完全關閉 Chrome 瀏覽器
2)找到本機自帶的終端(Terminal)
3)輸入以下命令:/Applications/Google\
Chrome.app/Contents/MacOS/Google\ Chrome --ssl-version-min=tls1
Linux 用戶:
1)完全關閉 Chrome 瀏覽器
2)在終端中輸入以下命令:google-chrome—ssl-version-min=tls1
Firefox瀏覽器用戶可以進入關於:設置,方法是在地址欄輸入 about:config,然後將 security.tls.version.min 調至 1。
設置方法引用自http://www.wosign.com/news/SSLv3-Poodle.htm