據悉，外國研究人員發現OpenSSL出現新的安全漏洞"DROWN"，該漏洞將對SSL協議造成安全威脅，攻擊者有可能利用這個漏洞對https站點進行攻擊。

什么是Drown漏洞

"DROWN"全稱是 Decrypting RSA with Obsolete and Weakened eNcryption，即"利用過時的脆弱加密算法來對RSA算法進破解"，指利用SSLv2協議漏洞來對TLS進行跨協議攻擊。

"DROWN攻擊"主要影響支持SSLv2的服務端和客戶端。SSLv2是一種古老的協議，許多客戶端已經不支持使用，但由于配置上的問題，許多服務器仍然支持SSLv2。"DROWN"使得攻擊者可以通過發送probe到支持SSLv2的使用相同密鑰的服務端和客戶端解密TLS通信。例如：將相同的私鑰同時用在Web服務端和Email服務端，如果Email服務支持SSLv2，但web服務不支持，那么攻擊者仍然能夠利用EMAIL服務的SSLv2漏洞獲取到web服務器的TLS連接數據。

用戶可以通過DROWN攻擊漏洞測試，測試自己的網站是否遭遇安全威脅，建議將各類站點都進行全面體檢。

沃通安全建議

首先，沃通CA建議用戶不要用相同的私鑰生成多張SSL證書，也不要將同一張SSL證書部署在多臺服務器上。雖然通配符型SSL證書支持所有子域名都使用同一張證書，能節省證書部署成本，但是為了規避諸如"DROWN"攻擊之類的安全威脅，沃通CA建議在服務器上均部署獨立的SSL證書，這樣攻擊者將無法利用其它服務器的漏洞，對關鍵服務器進行攻擊，即使其中一臺服務器出現問題也不會影響其他服務器的正常運行。歡迎登錄沃通數字證書商店，為您的所有重要應用服務器申請獨立的SSL證書。

其次，關閉所有服務器的SSLv2協議，參考如何禁用SSL2.0協議。

如果使用了OpenSSL，請參考OpenSSL官方給出的DROWN修復指南。

本頁內容由塔燈網絡科技有限公司通過網絡收集編輯所得，所有資料僅供用戶學習參考，本站不擁有所有權，如您認為本網頁中由涉嫌抄襲的內容，請及時與我們聯系，并提供相關證據，工作人員會在5工作日內聯系您，一經查實，本站立刻刪除侵權內容。本文鏈接:http://www.webpost.com.cn/20411.html