SSL,全稱Secure Socket Layer,為Netscape所研發(fā),用以保障在Internet上數(shù)據(jù)傳輸之安全,利用數(shù)據(jù)加密(Encryption)技術(shù),可確保數(shù)據(jù)在網(wǎng)絡上之傳輸過程中不會被截取及竊聽。簡單的說,就是加密傳輸?shù)臄?shù)據(jù),避免被截取監(jiān)聽等。
然而在本月中旬,知名加密協(xié)議SSLv3曝出名為“poodle”的高危漏洞(漏洞編號CNNVD-201410-267),可導致網(wǎng)絡中傳輸?shù)臄?shù)據(jù)被黑客監(jiān)聽,使用戶的敏感信息、網(wǎng)絡賬號和銀行賬戶被盜。目前,官方尚未發(fā)布修復補丁,因此該漏洞仍為0Day漏洞。安全專家警告,IE、Firefox、Chrome等瀏覽器用戶在使用免費WiFi以及安全級別較低的路由器時,極易遭遇黑客攻擊,因此廣大網(wǎng)民及網(wǎng)站運維人員應盡快應關(guān)閉SSLv3,同時加強路由器的安全防護。
據(jù)了解,協(xié)議漏洞可分為以下兩種:一種是心臟出血“Heart Bleed”:高危漏洞(CNNVD-201404-073)。一個請求就可能竊取到一個用戶帳號(返回服務器64K內(nèi)存);另一種是“貴賓犬(Poodle)”:普通漏洞。數(shù)萬次請求可能竊取到一個用戶帳號(1字節(jié)1字節(jié)的猜)。
其實,SSL協(xié)議漏洞與SSL證書本身是無關(guān)的。SSL證書用于激活服務器和客戶端之間的SSL傳輸協(xié)議。現(xiàn)有的SSL協(xié)議已發(fā)展出SSLv2、SSLv3、TLSv1、TLSv1.1及TLSv1.2多個版本。其中SSLv2及SSLv3已被發(fā)現(xiàn)存在漏洞,推薦在服務器端配置關(guān)閉該協(xié)議,僅開啟TLSv1、TLSv1.1及TLSv1.2即可避免受到漏洞影響。
京公網(wǎng)安備 11010502049343號