Google发布SSLv3漏洞(CVE-2014-3566)

google今日发布一个SSLV3漏洞 (CVE-2014-3566)报告,该漏洞会影响到所有使用SSL V3的服务,利用该漏洞黑客可以窃取到传输中本应该加密的数据,比如cookies等,来实现中间人攻击。其危害程度低于之前的 HeartBleed 漏洞, 但影响广泛,最近很多互联网基础组件都出现重大漏洞。

目前尚无任何针对此漏洞的补丁。

暂时只能在你的服务端停用SSL v3,在你的手机、PC上停用SSL v3。

在线检查你的网站是否启用了SSL v3: https://www.ssllabs.com/ssltest/analyze.html

停用HAProxy、Apache、Nginx上的SSL v3 : https://wiki.mozilla.org/Security/Server_Side_TLS#Nginx


SSL的演变
  • SSL是1994年网景(Netscape)公司设计的用来实现web安全传输的协议,因为不成熟,网景并未发布该版本
  • 1995年,SSL v2发布,但不久后即被发现重大安全漏洞
  • 1996年,SSL v3对外发布,并得到广泛使用,同年,网景发布的浏览器中集成了SSL v3
  • 1999年,IETF 将SSL标准化(RFC 2246),同时改名为 TLS(Transport Layer Security),即 TLS v1.0
  • 2006年,TLS v1.1 发布
  • 2008年,TLS v1.2 发布 (RFC 5246)

可见 TLS就是SSL的后续升级版,SSL最后的版本3.0发布至今已经超过18年,相当古老。
有关 SSSL/TLS协议的运行机制,可以阅读 阮一峰的这篇文章

SSL/TLS的安全

IETF将SSL标准化之后,更加广泛的被各软件厂商以及开源组织接受,后者将其和各种应用层协议(FTP、SMTP)等叠加,构建成了互联网安全传输的基础,目前使用最广泛的是 TLS v1,但几乎所有的新版服务端软件和客户端工具,早已支持TLS v1.2多年,从安全的角度讲,SSL v2 和 v3过于老旧,早就应该被淘汰,其历史上也多次发生过重大安全漏洞。

Google今天已经宣布,将在自己公司相关产品中陆续禁止回溯相容,强制使用TLS协议。
Mozilla 也表示,将于11月25日发布的Firefox 34中彻底禁掉 SSL v3。

禁用 SSL v3

这篇文章详细介绍了各种不同类型的mail\web\vpn\proxy 等各种server禁用ssl v3的方法
https://wiki.mozilla.org/Security/Server_Side_TLS

这篇文章中介绍了如何禁用Chrome 和 Firefox的 SSL v3
http://askubuntu.com/questions/537196/how-do-i-patch-workaround-sslv3-poodle-vulnerability-cve-2014-3566?answertab=active#tab-top

在 Internet Explorer 中禁用 SSL v3
file-list