一个存在于 SSL 3.0 协议中的新漏洞于被披露,通过此漏洞,第三方可以拦截通过采用 SSL 3.0 的服务器传输的重要信息。

问题出在哪里?
 
与此问题相关的不是 SSL 证书本身,而是进行加密处理时所采用的协议版本。SSL 3.0 协议被发现存在漏洞,通过该漏洞,攻击者可以获得密


码和浏览记录之类的个人信息。
 
虽然 SSL 3.0 推出已经 18 年了,而且 15 年前就有了更安全的 TLS 协议,SSL 3.0 仍在广泛使用中。要实现安全加密,必须完全禁用 SSL 

3.0,以防止降级攻击。
 
如何应对?
 
作为服务器管理员,您需要按照下列步骤操作:
 
1. 查看是否您的服务器配置为允许通过 SSL 3.0 通信。您可以执行如下 OpenSSL  命令来查看服务器配置:
 
openssl s_client -ssl3 -connect [host]:[port]
 
如果 SSL 3.0 被禁用,您将看到此通知:
 
SSL routines:SSL3_READ_BYTES:sslv3 alert handshakefailure:/xx/src/ssl/s3_pkt.c:xxxx:SSL alert number   
40SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:/xx/src/ssl/s3_pkt.c:xxx:
 
2. 完全禁用 SSL 3.0
 
3. 只启用 TLS 1.0 及以上级别安全协议
 
关于如何在各主流服务器中禁用 SSL 3.0,您可以参考下面链接中的帮助和说明:
 
Apache:http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslprotocol
 
Nginx:http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl _protocols
 
IIS:http://support2.microsoft.com/kb/187498
 
网站用户也应对浏览器进行配置,不允许通过 SSL 3.0 通信。主要的浏览器供应商正计划在接下来的版本中将此项设为默认,所以请确保及时

更新为最新版本的浏览器,并定期与您的供应商联系以获得最新信息。
 
参考资料
 
利用 SSL 3.0 回退:https://www.openssl.org/~bodo/ssl-poodle.pdf
 
微软安全报告 3009008:https://technet.microsoft.com/en-us/library/security/3009008