如果之前禁用了 TLS,我的服务器是否容易受到 Heartbleed 攻击?
在 apaches vhost 配置中,参数 sslCipherSuite 仅包含 SSLv2,据我所知,它不包含 TLS。
答案1
不,您不会受到 heartbleed 攻击,但正如 Micahel Hampton 如此清楚明了地指出的那样,在这种情况下,heartbleed 是您最不用担心的事情。我假设您的网站并不真正关心安全性,否则 SSLv2 几年前就被抛弃了。为了让网站更安全,建议使用 SSLLabs (Qualys) 进行测试并修复发现的问题。https://www.ssllabs.com/ssltest/ 此外,如果 apache 配置中有“SSv2”,则您的系统管理员可能没有使用安全更新修补服务器。这是一个跳跃,但对我来说,这并不牵强,因为 apache 配置中有“SSLv2”——可能是两组不同的工程师负责,但最好重新检查并确认。此外,TLS 建立在 SSL 之上,有很多文本提供了有关它的详细信息。关于“TLS”的 wiki 页面是一个很好的开始。此外,启用 sslv2 后,重新密钥证书也是一个安全的选择。不确定与较弱的密码套件相关的漏洞(SSLv2 的标志)是否可能已经危及密钥材料。撤销并替换证书将是一个好主意。