發表日期:2016-03 文章編輯:小燈 瀏覽次數:2059
據悉,外國研究人員發現OpenSSL出現新的安全漏洞"DROWN",該漏洞將對SSL協議造成安全威脅,攻擊者有可能利用這個漏洞對https站點進行攻擊。
什么是Drown漏洞
"DROWN"全稱是 Decrypting RSA with Obsolete and Weakened eNcryption,即"利用過時的脆弱加密算法來對RSA算法進破解",指利用SSLv2協議漏洞來對TLS進行跨協議攻擊。
"DROWN攻擊"主要影響支持SSLv2的服務端和客戶端。SSLv2是一種古老的協議,許多客戶端已經不支持使用,但由于配置上的問題,許多服務器仍然支持SSLv2。"DROWN"使得攻擊者可以通過發送probe到支持SSLv2的使用相同密鑰的服務端和客戶端解密TLS通信。例如:將相同的私鑰同時用在Web服務端和Email服務端,如果Email服務支持SSLv2,但web服務不支持,那么攻擊者仍然能夠利用EMAIL服務的SSLv2漏洞獲取到web服務器的TLS連接數據。
用戶可以通過DROWN攻擊漏洞測試,測試自己的網站是否遭遇安全威脅,建議將各類站點都進行全面體檢。
沃通安全建議
首先,沃通CA建議用戶不要用相同的私鑰生成多張SSL證書,也不要將同一張SSL證書部署在多臺服務器上。雖然通配符型SSL證書支持所有子域名都使用同一張證書,能節省證書部署成本,但是為了規避諸如"DROWN"攻擊之類的安全威脅,沃通CA建議在服務器上均部署獨立的SSL證書,這樣攻擊者將無法利用其它服務器的漏洞,對關鍵服務器進行攻擊,即使其中一臺服務器出現問題也不會影響其他服務器的正常運行。歡迎登錄沃通數字證書商店,為您的所有重要應用服務器申請獨立的SSL證書。
其次,關閉所有服務器的SSLv2協議,參考如何禁用SSL2.0協議。
如果使用了OpenSSL,請參考OpenSSL官方給出的DROWN修復指南。
日期:2018-04 瀏覽次數:6763
日期:2017-02 瀏覽次數:3438
日期:2017-09 瀏覽次數:3659
日期:2017-12 瀏覽次數:3529
日期:2018-12 瀏覽次數:4819
日期:2016-12 瀏覽次數:4584
日期:2017-07 瀏覽次數:13647
日期:2017-12 瀏覽次數:3508
日期:2018-06 瀏覽次數:4267
日期:2018-05 瀏覽次數:4446
日期:2017-12 瀏覽次數:3558
日期:2017-06 瀏覽次數:3984
日期:2018-01 瀏覽次數:3945
日期:2016-12 瀏覽次數:3915
日期:2018-08 瀏覽次數:4428
日期:2017-12 瀏覽次數:3708
日期:2016-09 瀏覽次數:6407
日期:2018-07 瀏覽次數:3208
日期:2016-12 瀏覽次數:3232
日期:2018-10 瀏覽次數:3386
日期:2018-10 瀏覽次數:3482
日期:2018-09 瀏覽次數:3580
日期:2018-02 瀏覽次數:3600
日期:2015-05 瀏覽次數:3521
日期:2018-09 瀏覽次數:3308
日期:2018-06 瀏覽次數:3435
日期:2017-02 瀏覽次數:3874
日期:2018-02 瀏覽次數:4339
日期:2018-02 瀏覽次數:4176
日期:2016-12 瀏覽次數:3574
Copyright ? 2013-2018 Tadeng NetWork Technology Co., LTD. All Rights Reserved.