OpenSSL 刚刚宣布其内存例程中又存在一个新漏洞。您可以在此处阅读有关该漏洞的全部内容:https://www.openssl.org/news/secadv_20141015.txt
解决方法是禁用 SSLv3。
- 这会完全禁用我们网站上的 HTTPS 吗?
- 哪些客户端仍然依赖 SSLv3,应该关注对它们的支持吗?
答案1
不会,它不会破坏您网站的 HTTPS 连接;几乎所有浏览器都已使用 TLSv1(如果您的软件足够新,则会使用更新版本)(Windows XP 上的 IE6 是个显著的例外)。
在您的配置中验证 TLSv1 是否已启用,但它在几乎每个服务器端 SSL 配置中都是默认启用的。
答案2
是的,您应该禁用 SSLv3。Poodle 之所以有效,是因为如果 TLS 失败,浏览器将尝试使用较旧的协议(例如 SSLv3)。MITM 可以滥用这一点(除非客户端和服务器支持新的 TLS SCSV,而目前只有 Chrome 支持)。有关 Poodle 攻击细节的详细论述,请参阅:https://security.stackexchange.com/q/70719
SSLv3 在多个方面存在缺陷,解决这个问题的最佳方法是禁用它,因为它在 15 年前就被 TLS 取代了。如果您在网站上使用 SSLv3,并且您不关心 XP 上的 IE6(XP 上的 IE7 很好),那么禁用它是安全的。
禁用 SSLv3 的可行性正在相关问题上讨论:贵宾犬:在服务器上禁用 SSL V3 真的是一个解决方案吗?
在此过程中,您可能希望对您的网站进行测试,看看是否还存在其他问题:https://www.ssllabs.com/ssltest/