修復SSL3.0漏洞

一個存在於 SSL 3.0 協議中的新漏洞於被披露，通過此漏洞，第三方可以攔截通過採用 SSL 3.0 的服務器傳輸的重要信息。

問題出在哪裏？
 
與此問題相關的不是 SSL 證書本身，而是進行加密處理時所採用的協議版本。SSL 3.0 協議被發現存在漏洞，通過該漏洞，攻擊者可以獲得密


碼和瀏覽記錄之類的個人信息。
 
雖然 SSL 3.0 推出已經 18 年了，而且 15 年前就有了更安全的 TLS 協議，SSL 3.0 仍在廣泛使用中。要實現安全加密，必須完全禁用 SSL 

3.0，以防止降級攻擊。
 
如何應對？
 
作爲服務器管理員，您需要按照下列步驟操作：
 
1. 查看是否您的服務器配置爲允許通過 SSL 3.0 通信。您可以執行如下 OpenSSL  命令來查看服務器配置：
 
openssl s_client -ssl3 -connect [host]:[port]
 
如果 SSL 3.0 被禁用，您將看到此通知：
 
SSL routines:SSL3_READ_BYTES:sslv3 alert handshakefailure:/xx/src/ssl/s3_pkt.c:xxxx:SSL alert number 　　
40SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:/xx/src/ssl/s3_pkt.c:xxx:
 
2. 完全禁用 SSL 3.0
 
3. 只啓用 TLS 1.0 及以上級別安全協議
 
關於如何在各主流服務器中禁用 SSL 3.0，您可以參考下面鏈接中的幫助和說明：
 
Apache：http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslprotocol
 
Nginx：http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl _protocols
 
IIS：http://support2.microsoft.com/kb/187498
 
網站用戶也應對瀏覽器進行配置，不允許通過 SSL 3.0 通信。主要的瀏覽器供應商正計劃在接下來的版本中將此項設爲默認，所以請確保及時

更新爲最新版本的瀏覽器，並定期與您的供應商聯繫以獲得最新信息。
 
參考資料
 
利用 SSL 3.0 回退：https://www.openssl.org/~bodo/ssl-poodle.pdf
 
微軟安全報告 3009008：https://technet.microsoft.com/en-us/library/security/3009008