@scream
3年前 提问
1个回答

如何修复 POODLE 漏洞

007bug
3年前
官方采纳

POODLE漏洞从本质上说,是SSL设计上的缺陷,SSL是先认证再加密的所以说是不安全的。解决办法就是禁用sslv3协议,不同的web server不尽相同,针对客户端可以从浏览器中设置来禁用。以下主流的服务器的禁用方式:

Nginx服务器

注意:nginx和openssl套件版本过低可能会导致无法启用新型加密套件和算法,请升级最新版本。

(openssl1.0.1+版本支持TLS1.1TLS1.2协议)

1.  ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 

2.  ssl_ciphers AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL;

apache2.X版本

SSLProtocol  all -SSLv2 -SSLv3

SSLCipherSuite ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL

Tomcat服务器

JDK版本过低也会带来不安全漏洞,请升级JDK为最新版本。升级JDK风险请安按照系统升级风险酌情考虑。

(先备份再配置,低版本的配置后有启动不了的风险,请升级tomcat和jdk版本,JDK1.7及以上支持TLS1.2协议)

Tomcat 6 (prior to 6.0.38)

<Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol"

               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"

     keystoreFile="keystore/domain.jks"  keystorePass="证书密码"

               clientAuth="false" sslProtocols="TLSv1,TLSv1.1,TLSv1.2"

                ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,

                                TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,

                                TLS_RSA_WITH_AES_128_CBC_SHA256,

                                TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,

                                TLS_RSA_WITH_3DES_EDE_CBC_SHA,

                                TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA" />

Tomcat 7 and later
  < Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol"

               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"

               keystoreFile="keystore/SSL.jks"  keystorePass="证书密码"

               clientAuth="false" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"

               ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,

                               TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,

                               TLS_RSA_WITH_AES_128_CBC_SHA256,

                               TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,

                               TLS_RSA_WITH_3DES_EDE_CBC_SHA,

                               TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA" />

使用apr的tomcat(windows环境路径请使用“”)

<Connector port="443" maxHttpHeaderSize="8192"


              maxThreads="150"

               protocol="HTTP/1.1"

               enableLookups="false" disableUploadTimeout="true"

               acceptCount="100" scheme="https" secure="true"

               SSLEnabled="true"

               sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"

               SSLCertificateFile="conf/2_domian.com.crt"

               SSLCertificateKeyFile="conf/3_domian.com.key"

               SSLCertificateChainFile="conf/1_root_bundle.crt" />

IIS服务器:

使用我们的套件工具,按照如下图进行修复。

图片