服务器软件
所有文档

          SSL证书服务 CAS

          服务器软件

          我们在最佳实践文章中建议大家如何去配置协议和密码套件,但是如果服务器软件(nginx、apache等)所使用的ssl协议库存在SSL漏洞,或者不支持那些现代化的密码套件和特性,那么无论你如何去修改配置都无法改善现在的安全问题。

          所以我们在配置前,或者发现按照推荐配置进行了调整《SSL/TLS安全评估报告》还是无法满足要求,那么可以检查下所使用的OpenSSL等加密库是否版本过低。

          如何检查OpenSSL版本

          nginx

          nginx -V

          nginx version: nginx/1.10.2
          built by gcc 4.8.5 20150623 (Red Hat 4.8.5-4) (GCC)
          built with OpenSSL 1.0.1e-fips 11 Feb 2013
          TLS SNI support enabled

          或者通过openssl命令查看(适用于非自己通过openssl源码编译的)

          openssl version

          推荐的OpenSSL版本

          1. OpenSSL 1.0.2用户需更新到1.0.2h 以上。
          2. OpenSSL 1.0.1用户需更新到1.0.1t 以上。
          3. OpenSSL官方已停止对 0.9.8和 1.0.0 两个版本的升级维护,请使用这两个版本的用户将其升级至1.0.2h版本以上。

          OpenSSL 1.0.1以下不支持tls1.2
          升级前请做好测试

          漏洞事件

          心血漏洞

          OpenSSL 心血(HeartBleed)漏洞是openssl在 2014-04-07 公布的重大安全漏洞(CVE-2014-0160)这个漏洞使攻击者能够从服务器内存中读取64 KB的数据,甚至获取到加密流量的密钥,用户的名字和密码,以及访问的内容。

          • OpenSSL 1.0.1g 已修复该漏洞
          • OpenSSL 1.0.0 分支版本不受此漏洞影响
          • OpenSSL 0.9.8 分支版本不受此漏洞影响
          • OpenSSL 1.0.2 Beta2 不受此漏洞影响

          Heartbleed检测工具>>

          水牢漏洞(DROWN跨协议攻击TLS漏洞)

          水牢漏洞可以允许攻击者破坏使用SSLv2协议进行加密的HTTPS网站,读取经加密传输的敏感通信,包括密码、信用卡帐号、商业机密、金融数据等。

          • OpenSSL 1.0.1h+
          • OpenSSL 1.0.0m+
          • OpenSSL 0.9.8za+

          “密文填塞”(Padding Oracle)漏洞

          “密文填塞”(Padding Oracle)漏洞,只要网络连接采用的是AES-CBC密码和支持AES-NI的服务器,那么MITM攻击者就可以使用Padding Oracle攻击解密通信

          • OpenSSL 1.0.2用户需更新到1.0.2h 。
          • OpenSSL 1.0.1用户需更新到1.0.1t 。
          • 使用包管理系统的用户可以直接更新到2016年5月3日 之后的版本。

          CBC padding oracle检测 检测工具>>

          CSS 注入漏洞

          OpenSSL CCS漏洞,此漏洞是 OpenSSL ChangeCipherSpec 设计缺陷造成,被称为 CCS 注入漏洞。

          • OpenSSL 1.1.0 应升级到 1.1.0a 或更高版本。
          • OpenSSL 1.0.2 应升级到 1.0.2i 或更高版本。
          • OpenSSL 1.0.1 应升级到 1.0.1u 或更高版本。

          OpenSSL CCS 检测工具>>

          注意事项

          OpenSSL官方已停止对 0.9.8和 1.0.0 两个版本的升级维护,请使用这两个版本的用户将其升级至更高版本。

          上一篇
          安全加固
          下一篇
          OpenSSL心血漏洞(Heartbleed)修复方案