网址:https://www.ssllabs.com/ssltest/,可以用于测试服务器的SSL配置情况,并会给出得分,扫描自己的网站得分如下:
1、This server is vulnerable to the POODLE attack. If possible, disable SSL 3 to mitigate. Grade capped to C. MORE INFO »
介绍:
2014年10月14日,披露了SSL加密协议版本3中的漏洞。 这个被称为POODLE(Padding Oracle On Downgraded Legacy Encryption)的漏洞允许攻击者使用中间人攻击以纯文本格式读取使用此版本协议加密的信息。
虽然SSLv3是旧版本的协议,主要是过时的, 但如果没有更好的加密选项, 许多软件仍然落在SSLv3上。更重要的是,攻击者有可能强制SSLv3连接,如果它是尝试连接的参与者的可用替代方法。
POODLE漏洞会影响使用SSLv3进行通信的任何服务或客户端。 因为这是协议设计的缺陷,而不是实现问题,所以使用SSLv3的每一个软件都很容易受到攻击。
什么是POODLE漏洞?
POODLE漏洞是SSL协议版本3中的弱点,允许中间人中间的攻击者破译SSLv3加密消息的纯文本内容
此漏洞影响可强制与SSLv3进行通信的每个软件。 这意味着任何实现包含SSLv3支持的后备机制的软件都很容易受到攻击。
可能受影响的一些常见软件是Web浏览器,Web服务器,VPN服务器,邮件服务器等
Apache Web服务器
在CentOS上,您可以在此处的SSL配置文件中进行调整(如果启用了SSL):
sudo nano /etc/httpd/conf.d/ssl.conf里面你可以找到SSLProtocol指令。 如果不可用,请创建它。 修改此项以显式删除对SSLv3的支持:
SSLProtocol all -SSLv3 -SSLv2保存并关闭文件。 重新启动服务以启用更改
2、This server accepts RC4 cipher, but only with older protocols.
修改ssl.conf:
SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS SSLHonorCipherOrder on
再次扫描结果后:
