SSLv3.0曝安全漏洞

投稿者: | 2014年11月3日
屏幕截图 2014-11-03 11.56.23

SSL to TLS

SSLv3.0近日曝出安全漏洞(POODLE(Padding Oracle On Downgraded Legacy Encryption))。

服务器和客户端相互使用SSLv3.0进行通信时,通信内容的一部分有可能被泄露给第三方。作为解决方案,服务器端需取消SSLv3.0功能,同时客户端也最好能取消SSLv3.0功能。作为替代,双方可使用TLS功能。

从客户端的情况看,Internet Explorer和谷歌Chrome浏览器需要修改设置文件。具体方法,请参见左图,取消SSL的选择,并确认TLS被选中。由于Safari和Firefox没有相应的设置功能,所以无法选择。不过,对于Firefox浏览器,Mozilla表示,将于2014年11月25日发布的新版本中不再支持SSLv3标准。

服务器端的解决方案可参考Redhat网站的公开信息:POODLE: SSLv3 vulnerability (CVE-2014-3566)

信息来源:SSLv3.0 脆弱性への対応について

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です