标签： IIS

如何修复 POODLE SSLv3 安全漏洞

文章作者 mzwame
发布日期 2023年1月2日

POODLE=Padding Oracle On Downgraded Legacy Encryption.

这是一个最新的安全漏洞(CVE-2014-3566)代号，俗称“贵宾犬”漏洞。

此漏洞是针对SSL3.0中CBC模式加密算法的一种padding oracle攻击，可以让攻击者获取SSL通信中的部分信息明文，如果将明文中的重要部分获取了，比如cookie,session，则信息的安全会出现严重隐患。

“贵宾犬”漏洞和之前的B.E.A.S.T(Browser Exploit Against SSL TLS)非常相似，处理方法也很接近。建议您手动关闭客户端SSLv3支持，或者关闭服务器SSLv3支持，或者两者全部关闭，即可有效防范该漏洞对您造成的影响。

以下是常见的几种web server修复方法

Apache

在Apache的SSL配置中禁用SSLv2和SSLv3：

SSLProtocol all-SSLv2-SSLv3

Nginx

在Nginx只允许使用TLS协议：

ssl_protocols TLSv1 TLSv1.1 TLSv1.2；

IIS

IIS服务器需要执行注册表文件,通过修改注册表的方式来达到禁用SSLV3，也可以使用我们制作的一键式优化加密套件工具ItrusIIS.exe，可以通过一键式操作为IIS服务加密套件设置推荐配置。

下载地址:

https://www.ert7.com/download/ITrusIIS.exe

下载完成后，双击执行“ItrusIIS.exe”，选择“最佳配置”后点击“应用”。

服务器重启之后即可生效。

以及——

Tomcat

tomcat从7版本后是可以支持修改SSL协议的,在tomcat中的SSL配置中禁用SSLV3，配置如下:

需要说明的是：该漏洞来自于SSLv3本身使用的算法RC4的缺陷，只能将SSLv3当作不安全协议禁用，强制使用TLS，但依然可以保障用户的信息安全，如发现该漏洞，请按照上述方法操作。

标签 Apache, IIS, SSL, SSL协议, tomcat

知识中心

证书发现

文章作者 mzwame
发布日期 2022年10月27日

一个组织中存储着数千个证书，很难了解这些证书是如何颁发或使用的。每当一个组织被问及可用的认证数量时，他们要么不知道，要么告诉估计的数量。

在组织内安装证书的过程包括：

发现
监控
自动化
集成

证书发现使我们能够更好地了解证书在组织中的使用方式。证书清单有助于分析加密安全标准和到期日期的认证。但是，如果没有可见性，就不可能避免下一个与证书相关的中断。

证书发现过程

证书发现过程分为不同的阶段：

直接 CA 集成：证书发现过程从 CA 集成开始。它涉及与自己的证书颁发机构和第三方证书颁发机构集成。它将允许您直接从一个位置的来源收集所有库存。
您可以通过与 CA 的直接同步来请求、吊销、续订和续订新证书，并在证书过期之前续订。
SSL/网络红绿灯系统发现 ：它用于查找证书在网络中存储的位置。大多数企业无法完全了解其证书基础结构。当我们知道凭据的确切位置时，我们可以根据需要轻松替换它们。
证书存储：某些证书不存储在网络中;它们位于密钥和证书存储中。一些可用的密钥库包括 Java 密钥库（JKS）、IIS 服务器、云服务（如 Azure 密钥保管库）等。

证书发现的重要性

大多数企业对其证书结构没有适当的可见性，可见性是证书管理流程中最关键的方面。手动证书管理的问题在于人为错误和库存文档不正确的可能性很高。

随着世界向数字化迈进，对数字证书的需求激增。
使用自签名证书可以解决此问题。在自签名证书的帮助下，我们可以快速生成这些证书。

有时，我们需要临时证书用于测试目的，这些证书应在生产前更换。但是，由于过程中的一些错误，有时这些临时证书进入组织的基础结构时不会被注意到，这可能会导致应用程序中断，并且很容易被入侵者捕获。已知证书也会出现这些类型的质询。因此，证书发现可帮助我们跟踪所有这些证书，并提供更好的愿景，防止各种应用程序中断。