如何防护SSL V3.0漏洞

我们刚刚从OpenSSL官网了解到SSLv3-Poodle攻击，请广大用户注意，详细的信息请访问：https://www.openssl.org/~bodo/ssl-poodle.pdf

该漏洞贯穿于所有的SSLv3版本中，利用该漏洞，黑客可以通过中间人攻击等类似的方式(只要劫持到的数据加密两端均使用SSL3.0)，便可以成功获取到传输数据(例如cookies)。截止到发文前，还没有任何补丁放出来。

建议关闭客户端SSLv3支持；或者关闭服务器SSLv3支持；或者两者全部关闭。

关闭服务器SSLv3支持：

Nginx：

ssl_protocolsTLSv1TLSv1.1TLSv1.2;

ssl_prefer_server_cipherson;

ssl_ciphersECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256

SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:DHE

RSA-AES128-SHA:RC4-SHA:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!DSS:!PKS;

ssl_session_timeout5m;

ssl_session_cachebuiltin:1000shared:SSL:10m;

Apache:

SSLProtocolall-SSLv2-SSLv3

SSLHonorCipherOrderon

SSLCipherSuiteECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256

SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:DHE

RSA-AES128-SHA:RC4-SHA:!aNULL:!MD5:!DSS

关闭客户端SSLv3支持：

谷歌已表示chorme浏览器已经通过技术手段屏蔽浏览器自动降级至SSL3.0链接。手动关闭掉SSL3.0支持的方法。

Windows用户：

1）完全关闭Chrome浏览器

2）复制一个平时打开Chrome浏览器的快捷方式

3）在新的快捷方式上右键点击，进入属性

4）在「目标」后面的空格中字段的末尾输入以下命令--ssl-version-min=tls1

MacOSX用户：

1）完全关闭Chrome浏览器

2）找到本机自带的终端（Terminal）

3）输入以下命令：/Applications/Google\Chrome.app/Contents/MacOS/Google\Chrome--ssl-version-min=tls1

Linux用户：

1）完全关闭Chrome浏览器

2）在终端中输入以下命令：google-chrome—ssl-version-min=tls1

Firefox浏览器用户可以进入关于:设置，方法是在地址栏输入about:config，然后将security.tls.version.min调至1。