OpenSSL曝出新型漏洞"DROWN",沃通发布安全建议
2016-03-03 00:00
633 查看
摘要: 外国研究人员发现OpenSSL出现新的安全漏洞DROWN,该漏洞将对SSL协议造成安全威胁,攻击者有可能利用这个漏洞对https站点进行攻击。沃通CA得知消息后,第一时间发布安全建议,并为SSL证书用户提供检测服务和技术咨询,帮助用户及时规避该漏洞可能造成的影响。
据悉,外国研究人员发现OpenSSL出现新的安全漏洞"DROWN",该漏洞将对SSL协议造成安全威胁,攻击者有可能利用这个漏洞对https站点进行攻击。沃通CA得知消息后,第一时间发布安全建议,并为SSL证书用户提供检测服务和技术咨询,帮助用户及时规避该漏洞可能造成的影响。
什么是Drown漏洞
"DROWN"全称是 Decrypting RSA with Obsolete and Weakened eNcryption,即"利用过时的脆弱加密算法来对RSA算法进破解",指利用SSLv2协议漏洞来对TLS进行跨协议攻击。
"DROWN攻击"主要影响支持SSLv2的服务端和客户端。SSLv2是一种古老的协议,许多客户端已经不支持使用,但由于配置上的问题,许多服务器仍然支持SSLv2。"DROWN"使得攻击者可以通过发送probe到支持SSLv2的使用相同密钥的服务端和客户端解密TLS通信。例如:将相同的私钥同时用在Web服务端和Email服务端,如果Email服务支持SSLv2,但web服务不支持,那么攻击者仍然能够利用EMAIL服务的SSLv2漏洞获取到web服务器的TLS连接数据。
用户可以通过DROWN攻击漏洞测试,测试自己的网站是否遭遇安全威胁,建议将各类站点都进行全面体检。
沃通安全建议
首先,沃通CA建议用户不要用相同的私钥生成多张SSL证书,也不要将同一张SSL证书部署在多台服务器上。虽然通配符型SSL证书支持所有子域名都使用同一张证书,能节省证书部署成本,但是为了规避诸如"DROWN"攻击之类的安全威胁,沃通CA建议在服务器上均部署独立的SSL证书,这样攻击者将无法利用其它服务器的漏洞,对关键服务器进行攻击,即使其中一台服务器出现问题也不会影响其他服务器的正常运行。欢迎登录沃通数字证书商店,为您的所有重要应用服务器申请独立的SSL证书。
其次,关闭所有服务器的SSLv2协议,参考如何禁用SSL2.0协议。
如果使用了OpenSSL,请参考OpenSSL官方给出的DROWN修复指南。
原文地址:http://www.wosign.com/news/2016-0302-00.htm
据悉,外国研究人员发现OpenSSL出现新的安全漏洞"DROWN",该漏洞将对SSL协议造成安全威胁,攻击者有可能利用这个漏洞对https站点进行攻击。沃通CA得知消息后,第一时间发布安全建议,并为SSL证书用户提供检测服务和技术咨询,帮助用户及时规避该漏洞可能造成的影响。
什么是Drown漏洞
"DROWN"全称是 Decrypting RSA with Obsolete and Weakened eNcryption,即"利用过时的脆弱加密算法来对RSA算法进破解",指利用SSLv2协议漏洞来对TLS进行跨协议攻击。
"DROWN攻击"主要影响支持SSLv2的服务端和客户端。SSLv2是一种古老的协议,许多客户端已经不支持使用,但由于配置上的问题,许多服务器仍然支持SSLv2。"DROWN"使得攻击者可以通过发送probe到支持SSLv2的使用相同密钥的服务端和客户端解密TLS通信。例如:将相同的私钥同时用在Web服务端和Email服务端,如果Email服务支持SSLv2,但web服务不支持,那么攻击者仍然能够利用EMAIL服务的SSLv2漏洞获取到web服务器的TLS连接数据。
用户可以通过DROWN攻击漏洞测试,测试自己的网站是否遭遇安全威胁,建议将各类站点都进行全面体检。
沃通安全建议
首先,沃通CA建议用户不要用相同的私钥生成多张SSL证书,也不要将同一张SSL证书部署在多台服务器上。虽然通配符型SSL证书支持所有子域名都使用同一张证书,能节省证书部署成本,但是为了规避诸如"DROWN"攻击之类的安全威胁,沃通CA建议在服务器上均部署独立的SSL证书,这样攻击者将无法利用其它服务器的漏洞,对关键服务器进行攻击,即使其中一台服务器出现问题也不会影响其他服务器的正常运行。欢迎登录沃通数字证书商店,为您的所有重要应用服务器申请独立的SSL证书。
其次,关闭所有服务器的SSLv2协议,参考如何禁用SSL2.0协议。
如果使用了OpenSSL,请参考OpenSSL官方给出的DROWN修复指南。
原文地址:http://www.wosign.com/news/2016-0302-00.htm
相关文章推荐
- window docker 安装
- nginx 同一端口根据不同域名转发到不同端口
- linux 上 crontab 使用教程
- centos6 yum 安装 nginx 不成功 解决办法
- fastdfs5.0.5+nginx安装+tracker+storage
- Windows Linux配置MD3200 的iSCSI的一些笔记
- 完美实现GIF动画缩略图(GIF压缩使用C++、shell命令、php)
- linux环境变量与本地变量
- CentOS7安装Hadoop2.7完整流程
- Scrapy爬虫架构安装过程
- iOS应用架构谈(二)
- Linux系统运维——vi的使用技巧——3
- ubuntu安装图像处理库PIL
- Stack Overflow 2016最新架构探秘
- 监控其它进程
- Docker的安装及简单使用
- linux 线程备忘
- 网站架构总结
- Linux学习决心书
- 【阿里云服务器】【ubuntu14.04】搭建apache+php+mysql+phalcon