閱讀841 返回首頁    go 景安網絡

網站存在不安全因素的解決辦法

關於SSL POODLE漏洞POODLE = Padding Oracle On Downgraded Legacy Encryption.是最新安全漏洞(CVE-2014-3566)的代號,俗稱“貴賓犬”漏洞。 此漏洞是針對SSL3.0中CBC模式加密算法的一種padding oracle攻擊,可以讓攻擊者獲取SSL通信中的部分信息明文,如果將明文中的重要部分獲取了,比如cookie,session,則信息的安全出現了隱患。從本質上說,這是SSL設計上的缺陷,SSL先認證再加密是不安全的。如何檢測漏洞可以是通過在線檢測工具https://wosign.ssllabs.com/來進行檢測。
修複措施:禁用sslv3協議不同的web server不盡相同。這邊列舉主流的服務器的禁用方式
Nginx服務器:注意:nginx和openssl套件版本過低可能會導致無法啟用新型加密套件和算法,請升級最新版本。(openssl1.0.1+版本支持TLS1.1和TLS1.2協議)

  1. ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

  2. ssl_ciphers AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL;


複製代碼apache服務器:注意:apache和openssl套件版本過低可能會導致無法啟用新型加密套件和算法,請升級最新版本。(openssl1.0.1+版本支持TLS1.1和TLS1.2協議)
apache2.X版本:

  1. SSLProtocol  all -SSLv2 -SSLv3

  2. SSLCipherSuite ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL

複製代碼Tomcat服務器:JDK版本過低也會帶來不安全漏洞,請升級JDK為最新版本。升級JDK風險請安按照係統升級風險酌情考慮。(先備份再配置,低版本的配置後有啟動不了的風險,請升級tomcat和jdk版本,JDK1.7及以上支持TLS1.2協議)Tomcat 6 (prior to 6.0.38)

  1. <Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol"

  2.               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"

  3.     keystoreFile="keystore/domain.jks"  keystorePass="證書密碼"

  4.               clientAuth="false" sslProtocols="TLSv1,TLSv1.1,TLSv1.2"

  5.                ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,

  6.                                TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,

  7.                                TLS_RSA_WITH_AES_128_CBC_SHA256,

  8.                                TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,

  9.                                TLS_RSA_WITH_3DES_EDE_CBC_SHA,

  10.                                TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA" />

複製代碼Tomcat 7 and later

  1.  < Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol"

  2.               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"

  3.               keystoreFile="keystore/SSL.jks"  keystorePass="證書密碼"

  4.               clientAuth="false" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"

  5.               ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,

  6.                               TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,

  7.                               TLS_RSA_WITH_AES_128_CBC_SHA256,

  8.                               TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,

  9.                               TLS_RSA_WITH_3DES_EDE_CBC_SHA,

  10.                               TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA" />

複製代碼
使用apr的tomcat(windows環境路徑請使用“\”)

  1. <Connector port="443" maxHttpHeaderSize="8192"

  2.               maxThreads="150"

  3.               protocol="HTTP/1.1"

  4.               enableLookups="false" disableUploadTimeout="true"

  5.               acceptCount="100" scheme="https" secure="true"

  6.               SSLEnabled="true"

  7.               sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"

  8.               SSLCertificateFile="conf/2_domian.com.crt"

  9.               SSLCertificateKeyFile="conf/3_domian.com.key"

  10.               SSLCertificateChainFile="conf/1_root_bundle.crt" />

複製代碼
IIS服務器:使用我們的套件工具,按照如下圖進行修複。下載地址:windows server 2008 https://www.wosign.com/download/IISCrypto.exewindows server 2012 https://www.nartac.com/Downloads/IISCrypto/IISCrypto40.exe備注:windows server 2003不支持tls1.1和1.2請升級至2008 R2或2012

123.jpg(286.57 KB, 下載次數: 46)

下載附件

2015-3-18 15:08 上傳


(本文為原創文章,未經允許禁止轉載抄襲)

最後更新:2017-01-11 21:21:25

  上一篇:go 第三方數據庫管理工具Navicat使用教程
  下一篇:go 什麼叫泛域名;如何進行域名泛解析?