我剛剛掃描了我的網站這個工具它說我的網站容易受到 CVE-2014-0224 的攻擊。我如何解決它?
我需要獲得新的證書嗎?我的這個是從enom買的。是他們的錯嗎?還是我的網頁伺服器(webfaction)的錯誤?
它還說:
RC4 密碼與 TLS 1.1 或更新的協定一起使用,即使有更強大的密碼可用。
和
伺服器不支援參考瀏覽器的前向保密。
我不知道這些是否都是 SSL 憑證的錯誤,或者我的伺服器需要支援正確提供服務?
答案1
您需要升級伺服器上的 OpenSSL 版本。該漏洞存在於軟體程式碼本身。
你可以在這裡閱讀更多:
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0224
或在這裡:
http://www.openssl.org/news/secadv_20140605.txt
編輯:重要的文字是:
OpenSSL 0.9.8 SSL/TLS 使用者(客戶端和/或伺服器)應升級至 0.9.8za。
OpenSSL 1.0.0 SSL/TLS 使用者(客戶端和/或伺服器)應升級至 1.0.0m。
OpenSSL 1.0.1 SSL/TLS 使用者(客戶端和/或伺服器)應升級至 1.0.1h。
答案2
CVE-2014-0224 需要更新 openssl。
RC4 密碼與 TLS 1.1 或更新的協定一起使用,即使有更強大的密碼可用。
和
伺服器不支援參考瀏覽器的前向保密。
只是網路伺服器設定問題。
像這樣的東西(假設是apache):
SSLCertificateFile server.crt
SSLCertificateKeyFile server.key
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCompression off
# Add six earth month HSTS header for all users...
Header add Strict-Transport-Security "max-age=15768000"
# If you want to protect all subdomains, use the following header
# ALL subdomains HAVE TO support HTTPS if you use this!
# Strict-Transport-Security: max-age=15768000 ; includeSubDomains
SSLCipherSuite 'EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRS
A+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LO
W:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA
128-SHA:AES128-SHA'
推薦人https://bettercrypto.org/ 應用加密強化。應仔細判斷 HTTP 嚴格傳輸安全性 (hsts) 的使用,因為它可能會破壞某些內容,並大幅增加伺服器負載。從安全角度來說,還是推薦的。
您的憑證可能沒問題,但如果它已與 openssl 的 heartbleed 可利用版本一起使用,則您必須替換它(它可能會受到損害)。
但是,升級 openssl 和設定 Web 伺服器將需要超級使用者權限。如果您使用共享託管,除了要求託管公司修復它之外,您無能為力。而他們,可能不會在意。