OpenSSL曝出新型漏洞“DROWN”沃通发布安全建议
3月1日爆出OpenSSL最新安全漏洞“DROWN”,SSL证书用户应该如何应对?沃通CA从专业角度给出应对策略。
什么是Drown漏洞
“DROWN”全称是 Decrypting RSA with Obsolete and Weakened eNcryption,即“利用过时的脆弱加密算法来对RSA算法进破解”,指利用SSLv2协议漏洞来对TLS进行跨协议攻击。
“DROWN攻击”主要影响支持SSLv2的服务端和客户端。SSLv2是一种古老的协议,许多客户端已经不支持使用,但由于配置上的问题,许多服务器仍然支持SSLv2。“DROWN”使得攻击者可以通过发送probe到支持SSLv2的使用相同密钥的服务端和客户端解密TLS通信。例如:将相同的私钥同时用在Web服务端和Email服务端,如果Email服务支持SSLv2,但web服务不支持,那么攻击者仍然能够利用EMAIL服务的SSLv2漏洞获取到web服务器的TLS连接数据。
用户可以通过ssllabs体检工具,测试自己的网站是否遭遇安全威胁,建议将各类站点都进行全面体检。
沃通安全建议
首先,沃通CA建议用户不要用相同的私钥生成多张SSL证书,也不要将同一张SSL证书部署在多台服务器上。虽然通配符型SSL证书支持所有子域名都使用同一张证书,能节省证书部署成本,但是为了规避诸如“DROWN”攻击之类的安全威胁,沃通CA建议在服务器上均部署独立的SSL证书,这样攻击者将无法利用其它服务器的漏洞,对关键服务器进行攻击,即使其中一台服务器出现问题也不会影响其他服务器的正常运行。尽快为您的所有重要应用服务器申请独立的SSL证书。
其次,关闭所有服务器的SSLv2协议。
如果使用了OpenSSL,请参考OpenSSL官方给出的DROWN修复指南。
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号
随时掌握互联网精彩
随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 中国人民解放军信息支援部队成立 4990124
- 2 买燃油车的人正式成了少数派 4932438
- 3 厦门一年轻妈妈买下2700多元海鲜 4842087
- 4 春茶春菜春耕 4736033
- 5 越南女首富被判死刑后引“寻宝热” 4653788
- 6 女护士扮高富帅操控女演员卖惨诈骗 4598012
- 7 东郊到家女技师月入6万平台抽50% 4455028
- 8 江西一公司被拆除后起诉县政府 4359848
- 9 淄博赵大爷辟谣收徒弟要收钱 4236603
- 10 加沙妇女抱侄女尸体照片获摄影大奖 4148160