SSL 3.0 漏洞防护方案

貓咪燒香

昨天Google披露了一个存在于 SSL 3.0 版本当中的安全漏洞

该漏洞贯穿于所有的SSLv3版本中，利用该漏洞，黑客可以通过中间人攻击等类似的方式(只要劫持到的数据加密两端均使用SSL3.0)，便可以成功获取到传输数据(例如cookies)。截止到发文前，还没有任何补丁放出来。

沃通(WoSign)建议关闭客户端SSLv3支持；或者关闭服务器SSLv3支持；或者两者全部关闭。

关闭服务器SSLv3支持：

Nginx：
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256
SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:DHE
RSA-AES128-SHA:RC4-SHA:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!DSS:!PKS;
ssl_session_timeout 5m;
ssl_session_cache builtin:1000 shared:SSL:10m;


Apache:
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256
SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:DHE
RSA-AES128-SHA:RC4-SHA:!aNULL:!MD5:!DSS


关闭客户端SSLv3支持：

谷歌已表示chorme浏览器已经通过技术手段屏蔽浏览器自动降级至SSL3.0链接。手动关闭掉 SSL 3.0 支持的方法。

Windows 用户：
1）完全关闭 Chrome 浏览器
2）复制一个平时打开 Chrome 浏览器的快捷方式
3）在新的快捷方式上右键点击，进入属性
4）在「目标」后面的空格中字段的末尾输入以下命令 --ssl-version-min=tls1

Mac OS X 用户：
1）完全关闭 Chrome 浏览器
2）找到本机自带的终端（Terminal）
3）输入以下命令：/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --ssl-version-min=tls1

Linux 用户：
1）完全关闭 Chrome 浏览器
2）在终端中输入以下命令：google-chrome—ssl-version-min=tls1

Firefox 浏览器用户：
在地址栏输入 about:config，然后将 security.tls.version.min 调至 1。


原文出处

046569

服务器端已屏蔽SSLv3

伊洛

不明觉厉