三步应对OpenSSL新型漏洞DROWN

ingan三步应对OpenSSL新型漏洞DROWN

OpenSSL爆出新型安全漏洞，“DROWN”全称是 Decrypting RSA with Obsolete and Weakened eNcryption，即“利⽤过时的脆弱加密算法来对RSA算法进破解”，指利⽤SSLv2协议漏洞来对TLS进⾏跨协议攻击。该漏洞将对SSL协议造成安全威胁，攻击者有可能利⽤这个漏洞对https站点进⾏攻击。

中南工业大学

第一朵杏花教学设计“DROWN攻击”主要影响⽀持SSLv2的服务端和客户端。SSLv2是⼀种古⽼的协议，许多客户端已经不⽀持使⽤，但由于配置上的问题，许多服务器仍然⽀持SSLv2。“DROWN”使得攻击者可以通过发送probe到⽀持SSLv2的使⽤相同密钥的服务端和客户端解密TLS 通信。例如：将相同的私钥同时⽤在Web服务端和Email服务端，如果Email服务⽀持SSLv2，但web服务不⽀持，那么攻击者仍然能够利⽤EMAIL服务的SSLv2漏洞获取到web服务器的TLS连接数据。麦博fc330

论正当防卫>三星d500SSL证书⽤户可三步⾛，应对DROWN漏洞威胁：

⾸先，⽤户可以通过ssllabs体检⼯具，测试⾃⼰的⽹站有没有关闭SSL2.0协议，建议对web、Email等各类站点都进⾏全⾯体检。参考资料：如何禁⽤SSL2.0协议。

其次，检查⽹站是否存在相同私钥⽣成的SSL证书，同时部署在多台服务器上的情况。沃通CA建议⽤户不要⽤相同的私钥⽣成多张SSL证书，也不要将同⼀张SSL证书部署在多台服务器上。虽然通配符型SS

L证书⽀持所有⼦域名都使⽤同⼀张证书，能节省证书部署成本，但是为了规避诸如“DROWN”攻击之类的安全威胁，建议在服务器上均部署独⽴的SSL证书，这样攻击者将⽆法利⽤其它服务器的漏洞，对关键服务器进⾏攻击，即使其中⼀台服务器出现问题也不会影响其他服务器的正常运⾏。

如果使⽤了OpenSSL，请参考OpenSSL官⽅给出的DROWN修复指南：

使⽤了OpenSSL 1.0.2的⽤户应该⽴刻将OpenSSL更新⾄1.0.2g

使⽤了OpenSSL 1.0.1的⽤户应该⽴刻将OpenSSL更新⾄1.0.1s

本文发布于:2024-09-23 05:34:00，感谢您对本站的认可！

本文链接：https://www.17tex.com/xueshu/231019.html

上一篇：第2章网络安全技术基础

下一篇：飞塔防火墙的SSL VPN技术在企业远程办公中的应用