一、关于SSL POODLE漏洞:
POODLE = Padding Oracle On Downgraded Legacy Encryption.是最新安全漏洞CVE-2014-3566)的代号,俗称“贵宾犬”漏洞。此漏洞是针对SSL3.0中CBC模式加密算法的一种padding oracle攻击,可以让攻击者获取SSL通信中的部分信息明文,如果将明文中的重要部分获取了,比如cookie,session,则信息的安全出现了隐患。
从本质上说,这是SSL设计上的缺陷,SSL先认证再加密是不安全的。
1、如何检测漏洞:
可以是通过在线检测工具https://www.ssllabs.com/ssltest/来进行检测。
2、修复措施:
禁用sslv3协议。不同的web server不尽相同。这边列举主流的服务器的禁用方式
二、Nginx服务器:
注意:nginx和openssl套件版本过低可能会导致无法启用新型加密套件和算法,请升级最新版本。
(openssl1.0.1+版本支持TLS1.1和TLS1.2协议)
1. ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
2. ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!3DES:!aNULL:!MD5:!ADH:!RC4;
3. ssl_prefer_server_ciphers on;
三、apache服务器:
注意:apache和openssl套件版本过低可能会导致无法启用新型加密套件和算法,请升级最新版本。
(openssl1.0.1+版本支持TLS1.1和TLS1.2协议)
1. SSLProtocol all -SSLv2 -SSLv3
2. SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!3DES:!MD5:!ADH:!RC4:!DH:!DHE
3. SSLHonorCipherOrder on
四、Tomcat服务器:
JDK版本过低也会带来不安全漏洞,请升级JDK为最新版本。升级JDK风险请安按照系统升级风险酌情考虑。(先备份再配置,低版本的配置后有启动不了的风险,请升级tomcat和jdk版本,JDK1.7及以上支持TLS1.2协议)
1. <Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
2. maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
3. keystoreFile="keystore/domain.jks" keystorePass="证书密码"
4. clientAuth="false" sslProtocol="TLS"
5. ciphers="TLS_RSA_WITH_AES_128_GCM_SHA256,
6. TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
7. TLS_RSA_WITH_AES_128_CBC_SHA,
8. TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
9. TLS_RSA_WITH_AES_128_CBC_SHA256,
10. TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
11. SSL_RSA_WITH_3DES_EDE_CBC_SHA,
12. TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA" />
使用apr的tomcat(windows环境路径请使用“\”)
1. <Connector port="443" maxHttpHeaderSize="8192"
2. maxThreads="150"
3. protocol="org.apache.coyote.http11.Http11AprProtocol"
4. enableLookups="false" disableUploadTimeout="true"
5. acceptCount="100" scheme="https" secure="true"
6. SSLEnabled="true"
7. SSLProtocol="all -SSLv2 -SSLv3"
8. SSLCertificateFile="conf/domian.com.crt"
9. SSLCertificateKeyFile="conf/domian.com.key"
10. SSLCertificateChainFile="conf/issuer.crt"
11. SSLCipherSuite="ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!3DES:!MD5:!ADH:!RC4:!DH:!DHE" />
五、IIS服务器:
使用套件工具,按照如下图进行修复。
*载下**地址:
windows server 2003 https://www.nartac.com/Downloads/IISCrypto/16build7/IISCrypto*ex.e**
windows server 2008 http://www.wosign.com/download/IISCrypto*ex.e**
windows server 2012 之后版本 https://www.nartac.com/Downloads/IISCrypto/IISCrypto*ex.e**
备注:windows server 2003不支持tls1.1和1.2请升级至2008 R2或2012
根据图示进行选择,点击Best Practices,然后再点击Apply,完成后重启服务器。
