服务器SSL不安全漏洞修复方案

关于SSL POODLE漏洞

POODLE = Padding Oracle On Downgraded Legacy Encryption.是最新安全漏洞(CVE-2014-3566)的代号，俗称“贵宾犬”漏洞。 此漏洞是针对SSL3.0中CBC模式加密算法的一种padding oracle攻击，可以让攻击者获取SSL通信中的部分信息明文，如果将明文中的重要部分获取了，比如cookie,session，则信息的安全出现了隐患。

从本质上说，这是SSL设计上的缺陷，SSL先认证再加密是不安全的。

  

如何检测漏洞

可以是通过在线检测工具https://wosign.ssllabs.com/来进行检测。

修复措施：

禁用sslv3协议

不同的web server不尽相同。这边列举主流的服务器的禁用方式

Nginx服务器：

注意：nginx和openssl套件版本过低可能会导致无法启用新型加密套件和算法，请升级最新版本。

（openssl1.0.1+版本支持TLS1.1和TLS1.2协议）

1. ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
   
2. ssl_ciphers ECDH:AESGCM:HIGH:!RC4:!DH:!MD5:!aNULL:!eNULL;
   
3. ssl_prefer_server_ciphers  on;

复制代码

apache 服务器：

注意：apache和openssl套件版本过低可能会导致无法启用新型加密套件和算法，请升级最新版本。

（openssl1.0.1+版本支持TLS1.1和TLS1.2协议）

apache2.X版本：

1. SSLProtocol  all -SSLv2 -SSLv3
   
2. SSLCipherSuite ECDH:AESGCM:HIGH:!RC4:!DH:!MD5:!aNULL:!eNULL
   
3. SSLHonorCipherOrder on

复制代码

Tomcat 服务器：

JDK版本过低也会带来不安全漏洞，请升级JDK为最新版本。升级JDK风险请安按照系统升级风险酌情考虑。

（先备份再配置，低版本的配置后有启动不了的风险，请升级tomcat和jdk版本，JDK1.7及以上支持TLS1.2协议）

1. <Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
   
2.                maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
   
3.      keystoreFile="keystore/domain.jks"  keystorePass="证书密码"
   
4.                clientAuth="false" sslProtocol="TLS"
   
5.                ciphers="TLS_RSA_WITH_AES_128_GCM_SHA256,
   
6.                         TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
   
7.                         TLS_RSA_WITH_AES_128_CBC_SHA,
   
8.                         TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
   
9.                         TLS_RSA_WITH_AES_128_CBC_SHA256,
   
10.                         TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
    
11.                         SSL_RSA_WITH_3DES_EDE_CBC_SHA,
    
12.                         TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA" />

复制代码

使用apr的tomcat（windows环境路径请使用“\”，证书文件是for apache压缩包中的三个文件）

1. <Connector port="443" maxHttpHeaderSize="8192"
   
2.                maxThreads="150"
   
3.                protocol="org.apache.coyote.http11.Http11AprProtocol"
   
4.                enableLookups="false" disableUploadTimeout="true"
   
5.                acceptCount="100" scheme="https" secure="true"
   
6.                SSLEnabled="true"
   
7.                SSLProtocol="all -SSLv2 -SSLv3"
   
8.                SSLCertificateFile="conf/domian.com.crt"
   
9.                SSLCertificateKeyFile="conf/domian.com.key"
   
10.                SSLCertificateChainFile="conf/root_bundle.crt"
    
11.                SSLCipherSuite="ECDH:AESGCM:HIGH:!RC4:!DH:!MD5:!aNULL:!eNULL" />

复制代码

IIS 服务器：

使用我们的套件工具,按照如下图进行修复。

下载地址：

windows server 2003 https://www.nartac.com/Downloads/IISCrypto/16build7/IISCrypto.exe

windows server 2008 http://www.wosign.com/download/IISCrypto.exe

windows server 2012 之后版本 https://www.nartac.com/Downloads/IISCrypto/IISCrypto.exe

备注：windows server 2003不支持tls1.1和1.2请升级至2008 R2或2012

根据图示进行选择，点击Best P ractices，然后再点击Apply， 完成后重启服务器。

对于其他平台的修复方式 可以参考其官方文档，或者联系我们。

123.jpg(286.57 KB, 下载次数: 521)