服务器SSL不安全漏洞修复方案

2023-11-17

关于SSL POODLE漏洞
POODLE = Padding Oracle On Downgraded Legacy Encryption.是最新安全漏洞(CVE-2014-3566)的代号，俗称“贵宾犬”漏洞。此漏洞是针对SSL3.0中CBC模式加密算法的一种padding oracle攻击，可以让攻击者获取SSL通信中的部分信息明文，如果将明文中的重要部分获取了，比如cookie,session，则信息的安全出现了隐患。
从本质上说，这是SSL设计上的缺陷，SSL先认证再加密是不安全的。

如何检测漏洞
可以是通过在线检测工具https://wosign.ssllabs.com/来进行检测。

修复措施：
禁用sslv3协议
不同的web server不尽相同。这边列举主流的服务器的禁用方式

Nginx服务器：
注意：nginx和openssl套件版本过低可能会导致无法启用新型加密套件和算法，请升级最新版本。
（openssl1.0.1+版本支持TLS1.1和TLS1.2协议）

ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
ssl_ciphers AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL;

复制代码
apache服务器：
注意：apache和openssl套件版本过低可能会导致无法启用新型加密套件和算法，请升级最新版本。
（openssl1.0.1+版本支持TLS1.1和TLS1.2协议）

apache2.X版本：

SSLProtocol  all -SSLv2 -SSLv3
SSLCipherSuite AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL

Tomcat服务器：
JDK版本过低也会带来不安全漏洞，请升级JDK为最新版本。升级JDK风险请安按照系统升级风险酌情考虑。
（先备份再配置，低版本的配置后有启动不了的风险，请升级tomcat和jdk版本，JDK1.7及以上支持TLS1.2协议）

Tomcat 6 (prior to 6.0.38)

<Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
     keystoreFile="keystore/domain.jks"  keystorePass="证书密码"
               clientAuth="false" sslProtocols="TLSv1,TLSv1.1,TLSv1.2"
                ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,
                                TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
                                TLS_RSA_WITH_AES_128_CBC_SHA256,
                                TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
                                TLS_RSA_WITH_3DES_EDE_CBC_SHA,
                                TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA" />

Tomcat 7 and later


  < Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               keystoreFile="keystore/SSL.jks"  keystorePass="证书密码"
               clientAuth="false" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
               ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,
                               TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
                               TLS_RSA_WITH_AES_128_CBC_SHA256,
                               TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
                               TLS_RSA_WITH_3DES_EDE_CBC_SHA,
                               TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA" />

使用apr的tomcat（windows环境路径请使用“\”）

<Connector port="443" maxHttpHeaderSize="8192"
               maxThreads="150"
               protocol="HTTP/1.1"
               enableLookups="false" disableUploadTimeout="true"
               acceptCount="100" scheme="https" secure="true"
               SSLEnabled="true"
               sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
               SSLCertificateFile="conf/2_domian.com.crt"
               SSLCertificateKeyFile="conf/3_domian.com.key"
               SSLCertificateChainFile="conf/1_root_bundle.crt" />

IIS服务器：
使用我们的套件工具,按照如下图进行修复。
下载地址：
windows server 2008 http://www.wosign.com/download/IISCrypto.exe
windows server 2012 https://www.nartac.com/Downloads/IISCrypto/IISCrypto40.exe
备注：windows server 2003不支持tls1.1和1.2请升级至2008 R2或2012
这里写图片描述
根据图示进行选择，修改完成后重启服务器。

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

服务器SSL不安全漏洞修复方案的相关文章

如何通过 SSL 将文件直接上传到 S3？

我已经使用基于浏览器的 Amazon S3 直接 POST 上传有一段时间了最近想开始通过 HTTPS 发布普通的 HTTP 帖子就可以正常工作但是当我将相同的表格发布到https s3 amazonaws com https s
通过 HTTPS 包含 Twitter Widgets.js

当我们包含以下内容时我在我们网站上的 HTTPS 服务页面上的混合内容方面遇到了一个小问题http platform twitter com widgets js http platform twitter com widgets js
如何修改s_client的代码？

我正在玩apps s client c in the openssl源代码我想进行一些更改并运行它但是在保存文件并执行操作后我的更改没有得到反映make all or a make 例如我改变了sc usage函数为此 BIO pr
信任所有将文件发送到 https Web 服务的 java 类

我需要编写自己的类来告诉 mule 与服务 wsdl 的 https 连接已验证我的 mule 项目已经接近完成但最后一块丢失了在特定的 url 发送文件我想要实现的目标建立连接并将 xml 发送到目标 url 读取 xml 格式
如何识别我的证书是否包含私钥？

根据这个服务器故障问题的答案 https serverfault com questions 9708 what is a pem file and how does it differ from other openssl generat
自动 IIS6 403.4 重定向到 SSL 不起作用

我的 ASP Net 网站中有一个目录需要启用 SSL 对于所有其他目录我不希望启用 SSL 使用 IIS 我为我想要需要 SSL 的文件夹选中了需要安全通道 SS 和 128 位加密复选框现在当用户在我的安全目录中输入 http
强制某些页面通过 HTTPS，而其他页面则通过 HTTP...这可能吗？

我真的被这个困住了基本上我尝试使用 IIS 的 URLRewrite 附加组件始终通过 SSL 制作 2 个页面但我还需要强制所有其他页面使用 HTTP 叹气不要问但如果我强制其他页面通过 HTTP 那么当您查看 SSL 页面时
Android 中的 SSL 会话重用问题（J2SE 工作正常）

我一直在 iOS Java 桌面和 Android 上尝试 SSL 会话重用 iOS 似乎尝试重用 SSL 会话但并非总是如此只要您在创建 SSLEngine 时传递主机名端口 Java 似乎总是会重用会话当我使用 Android
如何在Wamp服务器中启用SSL？

我尝试在网上搜索它但我很困惑我没有得到任何澄清逐步教程 http blog facilelogin com 2008 07 enabling ssl on wamp html 从链接复制在 WAMP 上启用 SSL 本分步指南介绍了
NGINX 上的 SSL 终止

我已经购买了 SSL 证书并在验证模数时正确地将其捆绑在一起即https kb wisc edu middleware 4064 https kb wisc edu middleware 4064 那么哈希值是相同的我已将证书和密钥移
SSL如何使用对称和非对称加密？如何管理一台主机上多个站点的认证？ [复制]

这个问题在这里已经有答案了首先引用微软TechNet的一些内容管理 Microsoft 证书服务和 SSL http technet microsoft com en us library bb727098 aspx 回顾一下安全 S
OpenSSL DH 密钥太小错误

我正在尝试使用简单的 PERL 脚本连接到封闭的服务器空调 usr bin perl use 5 10 1 use warnings use strict use IO Socket SSL use IO Socket SSL qw de
ca 证书 Mac OS X

我需要在emacs 上安装offlineimap 和mu4e 问题是配置当我运行 Offlineimap 时我得到 OfflineIMAP 6 5 5 Licensed under the GNU GPL v2 v2 or any la
如何在flutter中绕过SSL证书验证？

如何在flutter中绕过SSL证书验证错误握手异常客户端中的握手错误操作系统错误 CERTIFICATE VERIFY FAILED 自签名证书 handshake cc 345 您需要配置 HttpService 以使用自签名
ssl.SSLEOFError: EOF 发生违反协议 (_ssl.c:1129)

我正在尝试使用 GOOGLE Drive Api 从电脑上传多个文件到云端硬盘 from pydrive auth import GoogleAuth from pydrive drive import GoogleDrive import
Google Chrome 中的 ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED

我有一个使用 SSL 客户端证书授权的网站所有客户端证书都是使用 OpenSSL 生成的并且是自签名的一切都适用于所有网络浏览器但推荐的是 Google Chrome 因为它使用与 IE 相同的 SSL 仓库因此证书安装非常简单点
PushSharp APNS 生产：无法识别提供给包的凭据（但开发工作正常）

我的应用程序刚刚准备在 App Store 上销售但我的生产设备从 App Store 安装了该应用程序的设备都没有收到推送通知当我尝试向生产设备发送推送通知时出现以下错误 The credentials supplied to
如何通过 TLS 1.2 运行 django runserver

我正在本地 Mac OS X 机器上测试 Stripe 订单我正在实现这段代码 stripe api key settings STRIPE SECRET order stripe Order create currency usd em
出站连接的 SSL 配置在 websphere-liberty 17.0.0.2 中不起作用

我正在尝试将 websphere liberty 服务器配置为对所有出站连接实际上是 REST 调用使用默认密钥库和 trustore 对于入站连接使用自定义密钥和信任库但当尝试调用外部 REST 服务时它会失败并出现 SSLHan
应用程序传输安全已禁用，但仍然出现 SSL 握手错误

我在通过 HTTPS SSL 连接到 API 时遇到问题我已经使用下面的字典完全禁用了应用程序传输安全性 ATS 尽管 SSL 证书通过了 NSCURL 的所有测试

随机推荐

Mathorcup数学建模竞赛第六届-【妈妈杯】B题：车位分布的优化设计与评价（附一等奖获奖论文、C++和matlab代码）

赛题描述随着现代社会经济的快速发展房地产成为国家经济发展中重要的经济增长点之一而小区内汽车停车位的分布对于小区居民的上下班出行影响很大请建立数学模型解决下列问题问题1 分析评判小区汽车停车位分布是否合理的几个关键指标建立评判车
基于ESP32的数据采集端

背景介绍数据采集设备属于物联网领域的标准件广泛应用于工业医疗通讯以及教育等场景调研发现数据采集设备主要由硬件系统和软件代码两部分组成近年来随着技术的发展工程技术人员通过编写各种程序算法不断的挖掘硬件的性能不仅降低了硬件
一文读懂selenium自动化测试（基于Python）

前言我们今天来聊聊selenium自动化测试我们都知道selenium是一款web自动化测试的工具它应该如何去运用呢我们接着看下去 1 Selenium简介 1 1 Selenium Selenium是一款主要用于Web应用程序自动
hive面试题

Hive面试总结什么是 Hive Hive结构描述 Hive的优势内部表外部表分区表分桶表 hive中排序的种类和适用场景动态分区和静态分区的区别使用场景 hive 语句执行顺序 Hive的几种存储方式列式存储的好处 HQ
《期权、期货及其他衍生产品》读书笔记（第三章：利用期货的对冲策略）

3 1 基本原理完美对冲 Perfect Hedge 指完全消除风险的策略一劳永逸保完即忘Hedge and Forget Strategy 一旦设定对冲策略后无需在对其进行调整空头对冲 Short Hedge 对冲者选择期货的空
前端面试总结

前端面试一计算机网络 1 HTTP和HTTPS HTTP的基本概念 http 是互联网上应用最为广泛的一种网络协议是一个客户端和服务器端请求和应答的标准 TCP 用于从 WWW 服务器传输超文本到本地浏览器的超文本传输协议 HTTP工
java 盲水印实现比其他版本的速度更快！！！

该盲水印版本速度上更快参照了c的底层实现改编的 java 语法结合先人的经验得以完成希望能帮助有困惑的朋友实测代码有效下面就是我的代码实现首先是盲水印工具类导入类 import org bytedeco javacpp Loa
C++编译器为类自动生成的函数

我们可以构建一个空类 class Empty 尽管没有定义任何函数但我们可以通过以下方式使用这个类 Empty e1 Empty e2 e1 e2 e1 因为当编译器发现你用上述方式使用这个类而却在类声明中没有定义一般构造函数非复制构造
Python Web系列学习1

1 全栈网络框架除了封装网络和线程操作还提供HTTP栈数据库读写管理 HTML模板引擎等一系列功能的网络框架 Django Flask Tornado是全栈网络框架的典型标杆 Twisted更专注于网络底层的高性能封装而不提供HTML
服务器2008r2启动修复,Windows Server 2008 R2原生启动试用

IT168 特别策划 6000名IT精英齐聚一堂与来自微软产品核心研发团队及各个领域数百位顶级专家面对面交流 Tech Ed 2009盛典召开在即 IT168带您一起体验丰富多彩的活动和内容安排更加深入专注的互动讨论 IT168 专稿
文件恢复原理&&Linux文件恢复工具-foremost&extundelete

文件恢复的原理首先简单介绍一下 Linux 文件系统的最基本单元inode inode 译成中文就是索引节点每个存储设备例如硬盘或存储设备的分区被格式化为文件系统后应该有两部份一部份是 inode 另一部份是 block blo
FPGA设计篇之流水线思想

FPGA设计篇之流水线思想一写在前面二正文开始 2 1举个栗子 2 2 1情况一组合逻辑 2 1 2情况二流水线设计 2 1 4 小总结 2 2举第二个栗子写在最后一写在前面流水线大家好我是富土康三号流水线的张全蛋
常见计算机文件类型,关于文件类型电脑文件常用的有哪些类型？对应的软件有什么？rmvb 爱问知识人...

正确的安装步骤首先进入BIOS设置光驱优先 1 首先按Del键进入BIOS 2 通过键盘上的方向键选中Advanced BIOS Features 3 回车进入BIOS设置界面 4 用方向键选中First Boot Device或 1st
STM32CubeMx配置HAL库流水灯

STM32CubeMx配置HAL库流水灯文章目录 STM32CubeMx配置HAL库流水灯 RCC Clock Configuration GPIO Project Manager GENERATE CODE 程序编写注意事项 RCC
Offer差点无缘？HUAWEI 4面技术5面HR，踩线挺过！

大厂面试真题向来都是各大求职者的最佳练兵场而今天小编带来的便是 HUAWEI 面经这是一次真实的面试经历虽然不是我自己亲身经历但是听当事人叙述后便会深有同感因为我朋友差点就与offer擦肩而过了总共4面技术5面HR 真的好艰难为
laravel cookie的使用方法

1 Cookie make Cookie forever Cookie get 的使用方法 Route get cookieset function foreverCookie Cookie forever forever Success
线程的五大状态

线程从创建运行到结束总是处于下面五个状态之一新建状态就绪状态运行状态阻塞状态及死亡状态 http www blogjava net images blogjava net santicom 360 E6 88 AA E5 9B B
【论文笔记】AudioGPT: Understanding and Generating Speech,Music, Sound, and Talking Head

一简介核心问题目前llm无法解决复杂的音频信息或进行口语对话数据和计算资源制约了高方向的发展本文 1 使用chatgpt作为接口 2 没有训练口语模型而是将LLM与语音对话的输入输出接口 ASR TTS 连接起来 AudioG
MATLAB怎么画时间序列的自相关函数和偏自相关函数图

autocorr Series 画出自相关图图中上下两条横线分别表示自相关系数的上下界超出边界的部分表示存在相关关系 a b autocorr Series a 为各阶的相关系数 b 为滞后阶数 parcorr Series 画出偏自相
服务器SSL不安全漏洞修复方案

关于SSL POODLE漏洞 POODLE Padding Oracle On Downgraded Legacy Encryption 是最新安全漏洞 CVE 2014 3566 的代号俗称贵宾犬漏洞此漏洞是针对SSL3 0中CB

服务器SSL不安全漏洞修复方案

服务器SSL不安全漏洞修复方案 的相关文章

随机推荐

热门标签

服务器SSL不安全漏洞修复方案的相关文章