據(jù)悉，外國研究人員發(fā)現(xiàn)OpenSSL出現(xiàn)新的安全漏洞"DROWN"，該漏洞將對SSL協(xié)議造成安全威脅，攻擊者有可能利用這個(gè)漏洞對https站點(diǎn)進(jìn)行攻擊。

什么是Drown漏洞

"DROWN"全稱是 Decrypting RSA with Obsolete and Weakened eNcryption，即"利用過時(shí)的脆弱加密算法來對RSA算法進(jìn)破解"，指利用SSLv2協(xié)議漏洞來對TLS進(jìn)行跨協(xié)議攻擊。

"DROWN攻擊"主要影響支持SSLv2的服務(wù)端和客戶端。SSLv2是一種古老的協(xié)議，許多客戶端已經(jīng)不支持使用，但由于配置上的問題，許多服務(wù)器仍然支持SSLv2。"DROWN"使得攻擊者可以通過發(fā)送probe到支持SSLv2的使用相同密鑰的服務(wù)端和客戶端解密TLS通信。例如：將相同的私鑰同時(shí)用在Web服務(wù)端和Email服務(wù)端，如果Email服務(wù)支持SSLv2，但web服務(wù)不支持，那么攻擊者仍然能夠利用EMAIL服務(wù)的SSLv2漏洞獲取到web服務(wù)器的TLS連接數(shù)據(jù)。

用戶可以通過DROWN攻擊漏洞測試，測試自己的網(wǎng)站是否遭遇安全威脅，建議將各類站點(diǎn)都進(jìn)行全面體檢。

沃通安全建議

首先，沃通CA建議用戶不要用相同的私鑰生成多張SSL證書，也不要將同一張SSL證書部署在多臺服務(wù)器上。雖然通配符型SSL證書支持所有子域名都使用同一張證書，能節(jié)省證書部署成本，但是為了規(guī)避諸如"DROWN"攻擊之類的安全威脅，沃通CA建議在服務(wù)器上均部署獨(dú)立的SSL證書，這樣攻擊者將無法利用其它服務(wù)器的漏洞，對關(guān)鍵服務(wù)器進(jìn)行攻擊，即使其中一臺服務(wù)器出現(xiàn)問題也不會(huì)影響其他服務(wù)器的正常運(yùn)行。歡迎登錄沃通數(shù)字證書商店，為您的所有重要應(yīng)用服務(wù)器申請獨(dú)立的SSL證書。

其次，關(guān)閉所有服務(wù)器的SSLv2協(xié)議，參考如何禁用SSL2.0協(xié)議。

如果使用了OpenSSL，請參考OpenSSL官方給出的DROWN修復(fù)指南。

本頁內(nèi)容由塔燈網(wǎng)絡(luò)科技有限公司通過網(wǎng)絡(luò)收集編輯所得，所有資料僅供用戶學(xué)習(xí)參考，本站不擁有所有權(quán)，如您認(rèn)為本網(wǎng)頁中由涉嫌抄襲的內(nèi)容，請及時(shí)與我們聯(lián)系，并提供相關(guān)證據(jù)，工作人員會(huì)在5工作日內(nèi)聯(lián)系您，一經(jīng)查實(shí)，本站立刻刪除侵權(quán)內(nèi)容。本文鏈接:http://jstctz.cn/20411.html