如何应对 SSL 3.0 ”贵宾犬”漏洞攻击

　　问题出在哪里？
 

　　与此问题相关的不是 SSL 证书本身，而是进行加密处理时所采用的协议版本。SSL 3.0 协议被发现存在漏洞，通过该漏洞，攻击者可以获得密码和浏览记录之类的个人信息。
 

　　虽然 SSL 3.0 推出已经 18 年了，而且 15 年前就有了更安全的 TLS 协议，SSL 3.0 仍在广泛使用中。要实现安全加密，必须完全禁用 SSL 3.0，以防止降级攻击。
 

　　如何应对？
 

　　作为服务器管理员，您需要按照下列步骤操作：
 

　　1. 查看是否您的服务器配置为允许通过 SSL 3.0 通信。您可以执行如下 OpenSSL  命令来查看服务器配置：

　openssl s_client -ssl3 -connect [host]:[port]

　　如果 SSL 3.0 被禁用，您将看到此通知：
 

　　SSL routines:SSL3_READ_BYTES:sslv3 alert handshakefailure:/xx/src/ssl/s3_pkt.c:xxxx:SSL alert number 　　
　　40SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:/xx/src/ssl/s3_pkt.c:xxx:

　
　　2. 完全禁用 SSL 3.0
 

　　3. 只启用 TLS 1.0 及以上级别安全协议
 

　　关于如何在各主流服务器中禁用 SSL 3.0，您可以参考下面链接中的帮助和说明：
 

　　Apache：http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslprotocol

　
　　Nginx：http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl _protocols

　
　　IIS：http://support2.microsoft.com/kb/187498
 

　　网站用户也应对浏览器进行配置，不允许通过 SSL 3.0 通信。主要的浏览器供应商正计划在接下来的版本中将此项设为默认，所以请确保及时更新为新版本的浏览器，并定期与您的供应商联系以获得新信息。 
 

 

 

　　参考资料
　

　　这只 ”贵宾犬”会咬人：利用 SSL 3.0 回退：https://www.openssl.org/~bodo/ssl-poodle.pdf

　
　　微软安全报告 3009008：https://technet.microsoft.com/en-us/library/security/3009008