[公告]SSLv3漏洞 通知

小樱

尊敬的用户：

经调查，知名加密协议SSLv3曝出名为“POODLE”的高危漏洞（漏洞编号CVE-2014-3566），可导致网络中传输的数据被黑客监听，使用户的敏感信息、网络账号和银行账户被盗。



DNSPod为保障大家的帐号域名安全，在发现此漏洞时，工程师已及时关闭对SSLv3的支持。由于API是使用SSLv3加密传输，SSLv3关闭会导致部分开发者在代码里面指定使用SSLv3或者部分系统、浏览器版本较低的用户会出现调用访问API失败的情况。



目前DNSPod服务器支持TLS1.2、TLS1.1、TLS1.0这三种协议，工程师提示：可能需要客户端做一定的调整，比如说在调用API的时候指定我们支持的协议版本，或者升级本地系统浏览器等等。

备注:SSLv3关闭，web不受任何影响

该漏洞来自于SSLv3本身使用的算法RC4的缺陷，不是实现问题，该漏洞无法修复，只能将SSLv3当作不安全协议禁用，强制使用TLS。



温馨提示：

SSLv3是一款较为古老的加密传输协议，至今已有15年历史，多数网站都兼容SSLv3，因此本次漏洞的影响范围极大。在此，建议广大网民及网站运维人员，应做好以下防范工作：

1. 关闭SSLv3。Windows用户可在IE的“Internet选项->高级”中将“使用SSL 3.0”取消勾选，或通过组策略关闭；网站运维人员可禁用Apache、Nginx等服务器的SSLv3支持。

2. 不使用公共场所的免费WiFi，为家中的路由器做好安全防护工作。