安全提示：SSLv3被曝出存在协议漏洞

小樱

SSLv3被曝出存在协议漏洞：“通过此漏洞可以窃取客户端与server端使用SSLv3加密通信的明文内容，危害严重”，目前官方暂无升级修复补丁和攻击利用方式公布，最佳建议：“禁止使用SSLv3协议”，请了解。

【漏洞影响】：
1、 使用SSLv3协议的服务都存在此漏洞。
2、 通过SSLv3协议漏洞可以窃取加密通信的明文内容。

【修复方案】：
1、 官方暂无修复补丁。
2、临时解决方案：禁止使用SSLv3协议。

【注】：漏洞详情，请点击这里：http://blog.fox-it.com/2014/10/15/poodle/查看。

可以使用openssl客户端检测是否支持SSLv3：

1. openssl s_client -ssl3 -connect [host]:[port]

复制代码

如果服务器不支持SSLv3会返回类似下面的信息：

1. SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:/xx/src/ssl/s3_pkt.c:1125:SSL alert number 40
   
2. SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:/xx/src/ssl/s3_pkt.c:546:

复制代码

【禁止使用SSLv3协议】：

Nginx：

1. ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
   
2. ssl_prefer_server_ciphers on;
   
3. ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:RC4-SHA:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!DSS:!PKS;
   
4. ssl_session_timeout 5m;
   
5. ssl_session_cache builtin:1000 shared:SSL:10m;

复制代码

Apache:

1. SSLProtocol all -SSLv2 -SSLv3
   
2. SSLHonorCipherOrder on
   
3. SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:RC4-SHA:!aNULL:!MD5:!DSS

复制代码

IIS：
请参考：http://support2.microsoft.com/kb/187498/en-us
       或：http://support2.microsoft.com/kb/187498/zh-cn
进行手工修复，或者使用fix it向导进行修复。


修改完后，Linux重启Web服务即可，Windwos需要重新启动计算机。