qt 中使用openssl_openSSL漏洞致使SSL证书安全配置评级F
原文阅读:openSSL漏洞致使SSL证书安全配置评级F
SSL数字证书在服务器配置不当会暴露更多的安全漏洞,因此给黑客提供了攻击网站提供了便利和入口,通常我们会借助SSLLABS进行测试SSL安全部署的评级结果,评级结果A+、A都是相对比较安全的安全配置。
通常交换密钥、加密算法、加密套件等都正常的情况下,使用SSLLABS得到评测结果为F时,一般都是致命缺陷,通常是因旧版的OpenSSL或者使用OpenSSL编译产生的漏洞。本案例中抛出的错误信息如下:
- 服务器易受攻击,引起原因:OpenSSL CCS vulnerability (CVE-2014-0224),评级F;
- 服务器易受攻击,引起原因:OpenSSL Padding Oracle vulnerability (CVE-2016-2107) 评级F;
- 服务器易受攻击,引起原因:Heartbleed attack. 评级F;
关于漏洞的专业解释参考:常见的几种SSL/TLS漏洞及攻击方式
OpenSSL CCS 注入漏洞(CVE-2014-0224)
这是一个2014年暴出的OpenSSL的严重安全漏洞,该漏洞使得攻击者可以拦截恶意中间节点加密和解密数据,同时迫使使用弱密钥的SSL客户端暴露在恶意节点。当软件使用OpenSSL的受影响版本,通过网页浏览、电子邮件和VPN进行内容和身份验证等加密通讯时会有篡改的风险。
受影响的版本
- OpenSSL 1.0.1 - 1.0.1g
- OpenSSL 1.0.0 - 1.0.0l
- OpenSSL 0.9.8y 早前的所有版本
OpenSSL Padding Oracle 攻击(CVE-2016-2017)
这是一个2016年暴出的OpenSSL的严重安全漏洞,该漏洞对于开源加密库的影响可以被用来进行中间人攻击。只要用于连接的是AES CBC密码和支持AES NI的服务器,那么攻击者就可以利用“Padding Oracle攻击”解密HTTPS通信。
受影响的版本
- OpenSSL 1.0.2 - 1.0.2h
- OpenSSL 1.0.1 - 1.0.1t
- OpenSSL 1.0.0
- OpenSSL 0.9.8 早前所有版本
心血漏洞(Heartbleed)(CVE-2014-0160)
在OpenSSL1.0.1版本的心跳包模块存在严重漏洞(CVE-2014-0160),攻击者可以通过构造特殊的数据包,直接远程读取存在漏洞的OpenSSL服务器内存中多达64KB的数据,极有可能导致网站用户帐号密码等敏感数据被非法获取。
受影响的版本
- OpenSSL 1.0.1f
解决方案
1、所以本测试场景解决这些漏洞和评级的办法就是升级openSSL版本
openssl version -a
OpenSSL 1.0.2g 1 Mar 2016
保证openssl的版本不在上述受影响的版本范围内即可,然后重新编译时加入最新的openSSL版本
2、重新编译时移除弱加密支持,例如我们在编译Nginx版本时不要再加上弱加密支持
--with-openssl=/root/openssl
--with-openssl-opt=enable-weak-ssl-ciphers #本行移除
编译后的服务器再使用SSLLABS测试可正常达到A的评级,关于Nginx的编译安装请参考:指定版本的openSSL编译安装Nginx
更多资讯请关注infinisign.com 官网,关注同名微信公众号获取更多优惠
qt 中使用openssl_openSSL漏洞致使SSL证书安全配置评级F相关推荐
- 全面讲解Tomcat下SSL证书的配置(五)
Tomcat下具体的配置 Tomcat下关于使用SSL证书的配置可以分为三部分 1.启用SSL,使用Tomcat Java平台自身的SSL功能: 2.启用SSL,通过apr协议调用openssl的SS ...
- 阿里云域名https证书(ssl证书)配置
阿里云域名https证书(ssl证书)配置,nginx配置,亲测可用,记录下 首先进入到阿里云域名控制台,在域名控制台选择要配置的域名,并在操作栏点击"解析" 在域名解析点击更多下 ...
- tomcat配置SSL证书_tomcat配置https证书
现在很多网站都采用了https,因为https比http安全,所以我们公司也把内网系统改成https访问,但是这个要怎么配置和申请证书呢? 如果企业不缺钱的情况下申请购买SSL证书,当然也可以申请免费 ...
- Qt网络编程:QSslCertificate(SSL证书)
建议阅读: 如何创建一个自签名的SSL证书(X509) 创建自签名SSL证书 Windows系统生成自签名SSL证书 qt使用https协议获取数据的流程 windows创建自签名SSL证书所需工具 ...
- 在aws中使用阿里云的SSL证书
一:续费购买或新购 登录到阿里云SSL产品界面,如果没有证书,请先点击购买或续购 因为您的域名在aws而证书在阿里云,因为不在同一平台,因此此处验证时会显示"申请审核中"的状态 二 ...
- 申请 SSL 证书 --Nginx 配置Https 最佳实践
前沿 : 谷歌从 2017 年起,Chrome 浏览器将也会把采用 HTTP 协议的网站标记为「不安全」网站:苹果从 2017 年 iOS App 将强制使用 HTTPS:在国内热火朝天的小程序也要求 ...
- apache http自动跳转https_怎么给网站开启https协议?Apache2下SSL证书安装配置方法...
本文原创,未经允许,严禁装载 刚做本站的时候,我也不知道为什么要开启https协议,只是发现有很多网站都是https.当用Chrome浏览器打开本社区网站的时候,发现现实"不安全" ...
- 3 linux禁用ssl_ESXI申请阿里云SSL证书并配置
ESXI默认证书在浏览器内访问不受信任并会提示站点不安全,本文从零开始讲解申请阿里云免费SSL证书并替换ESXI默认SSL证书实现可信https访问. 一.申请阿里云免费SSL证书 1.点击进入阿里云 ...
- 阿里云域名配置以及https证书(ssl证书)配置
阿里云域名配置以及https证书配置 目录: 一.tomcat 配置https 二.nginx 配置多个域名 最近开发小程序,小程序开发使用的所有接口都必须是https的 然后申请了阿里云服务器 申请 ...
最新文章
- java cometd_关于cometd的一些经验总结-java端
- 使用程序创建数据库表
- 怎么把模组直接装在Java里面_如何使用jythonj将python模块添加到java中
- 致27岁的老光棍天空
- Delphi 2010 新增功能之: TWICImage 类[4] - 图像的修剪
- pandas使用笔记大全
- 【深搜】骑士游历(ssl 1277)
- bootstrap样式代码案例
- Dubbo服务端暴露全流程
- ADS仿真6_PA设计【未完成】
- 计算机中的标准差是哪个英语单词,标准差是什么意思
- ecshop 添加php标签,ecshop模板调用标签大全
- JavaScript学习第十九天
- 7-文件IO-阻塞与非阻塞IO
- 实验四 手写数字识别的神经网络算法设计与实现
- 3D 渲染的 5 种方式
- 你不会还在机械重复的输入格式化信息吧?snippet配置来帮你一键生成
- 侠客风云传服务器维护,侠客风云传开服表
- 原生js中如何添加dom元素
- JAVA 循环语句 流程图
热门文章
- css3自适应布局单位vw,vh你知道多少?
- zabbix安装部署windows_Zabbix监控windows部署安装
- mybatis是什么_深入解析:Mybatis接口没有实现类为什么可以执行增删改查?
- lora网关软件设计_SX1301网关设计 LoRaWAN网关 评估开发套件sx1278双向测试云平台LPKT001...
- python 分类 投票_LightGBM——提升机器算法(图解+理论+安装方法+python代码)
- 再次提醒自己测试过程中的侥幸导致失败
- (王道408考研操作系统)第三章内存管理-第二节4:页面分配策略
- (王道408考研操作系统)第二章进程管理-第三节10:经典同步问题之哲学家进餐问题
- 全面介绍Windows内存管理机制及C++内存分配实例(一):进程空间
- Java统计每个大写字母的个数