记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

OpenSSL曝出新型漏洞“DROWN”沃通发布安全建议

2016-03-05 02:30

3月1日爆出OpenSSL最新安全漏洞“DROWN”,SSL证书用户应该如何应对?沃通CA从专业角度给出应对策略。

什么是Drown漏洞

“DROWN”全称是 Decrypting RSA with Obsolete and Weakened eNcryption,即“利用过时的脆弱加密算法来对RSA算法进破解”,指利用SSLv2协议漏洞来对TLS进行跨协议攻击。

“DROWN攻击”主要影响支持SSLv2的服务端和客户端。SSLv2是一种古老的协议,许多客户端已经不支持使用,但由于配置上的问题,许多服务器仍然支持SSLv2。“DROWN”使得攻击者可以通过发送probe到支持SSLv2的使用相同密钥的服务端和客户端解密TLS通信。例如:将相同的私钥同时用在Web服务端和Email服务端,如果Email服务支持SSLv2,但web服务不支持,那么攻击者仍然能够利用EMAIL服务的SSLv2漏洞获取到web服务器的TLS连接数据。
用户可以通过ssllabs体检工具,测试自己的网站是否遭遇安全威胁,建议将各类站点都进行全面体检。

沃通安全建议

首先,沃通CA建议用户不要用相同的私钥生成多张SSL证书,也不要将同一张SSL证书部署在多台服务器上。虽然通配符型SSL证书支持所有子域名都使用同一张证书,能节省证书部署成本,但是为了规避诸如“DROWN”攻击之类的安全威胁,沃通CA建议在服务器上均部署独立的SSL证书,这样攻击者将无法利用其它服务器的漏洞,对关键服务器进行攻击,即使其中一台服务器出现问题也不会影响其他服务器的正常运行。尽快为您的所有重要应用服务器申请独立的SSL证书。
其次,关闭所有服务器的SSLv2协议。

如果使用了OpenSSL,请参考OpenSSL官方给出的DROWN修复指南。

知识来源: www.ijiandao.com/safe/it/20751.html

阅读:99220 | 评论:0 | 标签:业界 DROWN OpenSSL WoSign CA 漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“OpenSSL曝出新型漏洞“DROWN”沃通发布安全建议”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云