ingan三步应对OpenSSL新型漏洞DROWN OpenSSL爆出新型安全漏洞,“DROWN”全称是 Decrypting RSA with Obsolete and Weakened eNcryption,即“利⽤过时的脆弱加密算法来对RSA算法进破解”,指利⽤SSLv2协议漏洞来对TLS进⾏跨协议攻击。该漏洞将对SSL协议造成安全威胁,攻击者有可能利⽤这个漏洞对https站点进⾏攻击。 中南工业大学
第一朵杏花教学设计“DROWN攻击”主要影响⽀持SSLv2的服务端和客户端。SSLv2是⼀种古⽼的协议,许多客户端已经不⽀持使⽤,但由于配置上的问题,许多服务器仍然⽀持SSLv2。“DROWN”使得攻击者可以通过发送probe到⽀持SSLv2的使⽤相同密钥的服务端和客户端解密TLS 通信。例如:将相同的私钥同时⽤在Web服务端和Email服务端,如果Email服务⽀持SSLv2,但web服务不⽀持,那么攻击者仍然能够利⽤EMAIL服务的SSLv2漏洞获取到web服务器的TLS连接数据。麦博fc330
论正当防卫>三星d500SSL证书⽤户可三步⾛,应对DROWN漏洞威胁: ⾸先,⽤户可以通过ssllabs体检⼯具,测试⾃⼰的⽹站有没有关闭SSL2.0协议,建议对web、Email等各类站点都进⾏全⾯体检。参考资料:如何禁⽤SSL2.0协议。
其次,检查⽹站是否存在相同私钥⽣成的SSL证书,同时部署在多台服务器上的情况。沃通CA建议⽤户不要⽤相同的私钥⽣成多张SSL证书,也不要将同⼀张SSL证书部署在多台服务器上。虽然通配符型SS
L证书⽀持所有⼦域名都使⽤同⼀张证书,能节省证书部署成本,但是为了规避诸如“DROWN”攻击之类的安全威胁,建议在服务器上均部署独⽴的SSL证书,这样攻击者将⽆法利⽤其它服务器的漏洞,对关键服务器进⾏攻击,即使其中⼀台服务器出现问题也不会影响其他服务器的正常运⾏。
如果使⽤了OpenSSL,请参考OpenSSL官⽅给出的DROWN修复指南:
使⽤了OpenSSL 1.0.2的⽤户应该⽴刻将OpenSSL更新⾄1.0.2g
使⽤了OpenSSL 1.0.1的⽤户应该⽴刻将OpenSSL更新⾄1.0.1s