SSL相关漏洞如下:
- CVE-2015-2808 SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞。
- CVE-2014-3566 SSLv3在降级的旧版加密漏洞(POODLE)。
- CVE-2011-1473 服务器支持 TLS Client-initiated 重协商攻击。
- CVE-2016-0800 SSL DROWN攻击漏洞。
- SSL证书非正式可信证书。
等等
解决以上漏洞问题的办法:
- 用户购买正式证书,TongWeb自带测试证书非正式证书,需购买制作正式证书配SSL。
- 制作证书时需使用OpenSSL最新版本,老版本OpenSSL有安全漏洞。
- 制作的证书密码位数要符合安全要求。
- 如果是Apache,nginx集群,则在其上配SSL解决漏洞。
1. https通道改用NIO/NIO2模式,解决漏洞 CVE-2011-1473。
2. 不勾选SSLv3协议,只勾选TLS协议。
3. 在Ciphers中配置安全的算法,通常如: TLS_ECDHE_RSA_WITAES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA