您现在的位置:主页 > 安全新闻 > 安全播报 >
UCC证书实现多域名支持,微软产品首家推荐Entrust。UCC证书保护企业多个域名及其子域名、IP地址、服务器,协助您大幅节省时间、管理成本,强化网站信息安全管理的效率。
一个存在于 SSL 3.0 协议中的新漏洞于今日被披露。该漏洞被命名为“贵宾犬”(降级传统加密填充提示),通过此漏洞,第三方可以拦截通过采用 SSL 3.0 的服务器传输的重要信息。

问题出在哪里?

与此问题相关的不是 SSL 证书本身,而是进行加密处理时所采用的协议版本。SSL 3.0 协议被发现存在漏洞,通过该漏洞,攻击者可以获得密码和浏览记录之类的个人信息。

虽然 SSL 3.0 推出已经 18 年了,而且 15 年前就有了更安全的 TLS 协议,SSL 3.0 仍在广泛使用中。要实现安全加密,必须完全禁用 SSL 3.0,以防止降级攻击。

如何应对?

作为服务器管理员,您需要按照下列步骤操作:

1. 查看是否您的服务器配置为允许通过 SSL 3.0 通信。您可以执行如下 OpenSSL  命令来查看服务器配置:

     openssl s_client -ssl3 -connect [host]:[port]

如果 SSL 3.0 被禁用,您将看到此通知:

    SSL routines:SSL3_READ_BYTES:sslv3 alert handshakefailure:/xx/src/ssl/s3_pkt.c:xxxx:SSL alert number   

    40SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:/xx/src/ssl/s3_pkt.c:xxx:

2. 完全禁用 SSL 3.0

3. 只启用 TLS 1.0 及以上级别安全协议

关于如何在各主流服务器中禁用 SSL 3.0,您可以参考下面链接中的帮助和说明:

Apache:http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslprotocol

Nginx:http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl _protocols

IIS:http://support2.microsoft.com/kb/187498

网站用户也应对浏览器进行配置,不允许通过 SSL 3.0 通信。主要的浏览器供应商正计划在接下来的版本中将此项设为默认,所以请确保及时更新为最新版本的浏览器,并定期与您的供应商联系以获得最新信息。



 

分享到: 更多
通配符证书SSL证书-标准版SSL证书-高级版代码签名证书UCC证书PDF签名证书EV证书邮件安全证书| 免费试用产品支持合作伙伴友情链接关于亿创恒安
联系电话:133129-22000 公司邮箱:support@etsec.com.cn
© 北京亿创恒安科技有限公司 版权所有www.etsec.com.cn 京ICP备10211985