SSL 3.0 Fallback protection-SSL 3.0 降級保護策略

一暂殖、背景

自從大學畢業(yè)后当纱,閱讀英文的文檔水平很差(其實未畢業(yè)也是這樣的水平),極其痛恨自己看美劇這么久還是要慢慢看中文字幕(能學會看英文字幕也不錯吧莉给?!)颓遏,加之自己的安全知識過于薄弱叁幢,就從Open SSL的Security Advisory開始進行翻譯吧。再者曼玩,很久沒寫Markdown,也很久沒寫文章豫尽,借此機會也好好訓練一下顷帖。翻譯得不好的,請見諒贬墩,會努力逐漸進步。

二嗽测、原文

SSL 3.0 Fallback protection
===========================

Severity: Medium

OpenSSL has added support for TLS_FALLBACK_SCSV to allow applications
to block the ability for a MITM attacker to force a protocol
downgrade.

Some client applications (such as browsers) will reconnect using a
downgraded protocol to work around interoperability bugs in older
servers. This could be exploited by an active man-in-the-middle to
downgrade connections to SSL 3.0 even if both sides of the connection
support higher protocols. SSL 3.0 contains a number of weaknesses
including POODLE (CVE-2014-3566).

OpenSSL 1.0.1 users should upgrade to 1.0.1j.
OpenSSL 1.0.0 users should upgrade to 1.0.0o.
OpenSSL 0.9.8 users should upgrade to 0.9.8zc. 

https://tools.ietf.org/html/draft-ietf-tls-downgrade-scsv-00
https://www.openssl.org/~bodo/ssl-poodle.pdf

Support for TLS_FALLBACK_SCSV was developed by Adam Langley and Bodo Moeller.

三唠粥、譯文

SSL 3.0  降級保護策略
=============================================
安全等級:中等

OpenSSL已經(jīng)增加對TLS_FALLBACK_SCSV允許程序禁用協(xié)議降級的支持停做。此選項能夠拒絕從SSL協(xié)議降級時所受到的中間人攻擊。

一些客戶端程序(例如瀏覽器)會使用協(xié)議降級的方法重連一些兼容性較差的老舊服務雅宾。這樣從高版本協(xié)議降低到SSL3.0的處理會被中間人去利用獲取信息,即使是兩邊都支持高版本的協(xié)議贯吓。SSL 3.0包含一系列的漏洞蜀变,包括POODLE(CVE-2014-3566)。

四爬舰、學習

POODLE這個漏洞爆出之后,很多廠商紛紛上配置改Apache改Nginx情屹,將SSLv3.0以下的版本都禁掉(順便也把SSLv2也殺掉),從此只支持TLS椅文。

下文是轉網(wǎng)上的一篇文章:

Google的建議:關閉客戶端SSLv3支持或者服務器SSLv3支持或者兩者全部關閉惜颇。

建議支持TLS_FALLBACK_SCSV,這可以解決重試連接失敗的問題羡蛾,從而防止攻擊者強制瀏覽器使用SSL3.0, 它還可以防止降級到TLS1.2至1.1或1.0锨亏,可能有助于防止未來的攻擊。

SSLv3漏洞的解決方案如下:

  1. 如果要完全避免此漏洞屯伞,需要禁止使用SSLv3協(xié)議豪直;
  2. 考慮到老版本瀏覽器(如IE6)的默認設置為SSLv3協(xié)議,如果直接禁用SSLv3協(xié)議弓乙,將導致這批采用默認設置的用戶無法訪問對應網(wǎng)站合敦,可以采用通過修改webserver的SSL配置來修復這個問題矾瘾,配置實現(xiàn)的效果是客戶端通過SSLv3協(xié)議訪問https業(yè)務時雙方使用RC4-SHA加密巧婶,而采用TLS1.0或更高版本協(xié)議時優(yōu)先使用其他強加密算法涂乌。 RC4-SHA加密方式未驗證是否能夠避免問題
  3. 某些移動客戶端訪問的應用在禁止SSLv3或更改SSL配置時,需要考慮到移動客戶端中是否指定了使用SSLv3協(xié)議或者采用CBC模式的塊加密湾盒,如果有這個問題則需要先修改客戶端的實現(xiàn)才能執(zhí)行修復方案罚勾,否則移動客戶端的訪問將受影響吭狡。
最后編輯于
?著作權歸作者所有,轉載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末丈莺,一起剝皮案震驚了整個濱河市,隨后出現(xiàn)的幾起案子般此,更是在濱河造成了極大的恐慌牵现,老刑警劉巖,帶你破解...
    沈念sama閱讀 222,590評論 6 517
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件科乎,死亡現(xiàn)場離奇詭異贼急,居然都是意外死亡,警方通過查閱死者的電腦和手機空闲,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 95,157評論 3 399
  • 文/潘曉璐 我一進店門走敌,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人跌榔,你說我怎么就攤上這事捶障。” “怎么了项炼?”我有些...
    開封第一講書人閱讀 169,301評論 0 362
  • 文/不壞的土叔 我叫張陵锭部,是天一觀的道長。 經(jīng)常有香客問我空另,道長蹋砚,這世上最難降的妖魔是什么摄杂? 我笑而不...
    開封第一講書人閱讀 60,078評論 1 300
  • 正文 為了忘掉前任循榆,我火速辦了婚禮,結果婚禮上映挂,老公的妹妹穿的比我還像新娘盗尸。我一直安慰自己,他們只是感情好泼各,可當我...
    茶點故事閱讀 69,082評論 6 398
  • 文/花漫 我一把揭開白布扣蜻。 她就那樣靜靜地躺著,像睡著了一般锐极。 火紅的嫁衣襯著肌膚如雪芳肌。 梳的紋絲不亂的頭發(fā)上,一...
    開封第一講書人閱讀 52,682評論 1 312
  • 那天檬嘀,我揣著相機與錄音责嚷,去河邊找鬼掂铐。 笑死,一個胖子當著我的面吹牛全陨,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播柿菩,決...
    沈念sama閱讀 41,155評論 3 422
  • 文/蒼蘭香墨 我猛地睜開眼雨涛,長吁一口氣:“原來是場噩夢啊……” “哼懦胞!你這毒婦竟也來了凉泄?” 一聲冷哼從身側響起后众,我...
    開封第一講書人閱讀 40,098評論 0 277
  • 序言:老撾萬榮一對情侶失蹤,失蹤者是張志新(化名)和其女友劉穎教藻,沒想到半個月后右锨,有當?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 46,638評論 1 319
  • 正文 獨居荒郊野嶺守林人離奇死亡痊臭,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 38,701評論 3 342
  • 正文 我和宋清朗相戀三年登夫,在試婚紗的時候發(fā)現(xiàn)自己被綠了。 大學時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片鸦致。...
    茶點故事閱讀 40,852評論 1 353
  • 序言:一個原本活蹦亂跳的男人離奇死亡涣楷,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出绽乔,到底是詐尸還是另有隱情碳褒,我是刑警寧澤,帶...
    沈念sama閱讀 36,520評論 5 351
  • 正文 年R本政府宣布睦授,位于F島的核電站摔寨,受9級特大地震影響,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜疗隶,卻給世界環(huán)境...
    茶點故事閱讀 42,181評論 3 335
  • 文/蒙蒙 一斑鼻、第九天 我趴在偏房一處隱蔽的房頂上張望猎荠。 院中可真熱鬧坚弱,春花似錦关摇、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 32,674評論 0 25
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至鹅很,卻和暖如春罪帖,著一層夾襖步出監(jiān)牢的瞬間,已是汗流浹背整袁。 一陣腳步聲響...
    開封第一講書人閱讀 33,788評論 1 274
  • 我被黑心中介騙來泰國打工坐昙, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留,地道東北人民珍。 一個月前我還...
    沈念sama閱讀 49,279評論 3 379
  • 正文 我出身青樓嚷量,卻偏偏與公主長得像逆趣,于是被迫代替她去往敵國和親。 傳聞我的和親對象是個殘疾皇子,可洞房花燭夜當晚...
    茶點故事閱讀 45,851評論 2 361

推薦閱讀更多精彩內(nèi)容