注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

曾国藩的博客

 
 
 

日志

 
 

[公告]SSLv3漏洞 通知  

2015-09-24 17:07:27|  分类: 阿里云、VPS、SSL |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
http://blog.dnspod.cn/2014/10/sslv3loudong/

尊敬的DNSPod用户:

经调查,知名加密协议SSLv3曝出名为“POODLE”的高危漏洞(漏洞编号CVE-2014-3566),可导致网络中传输的数据被黑客监听,使用户的敏感信息、网络账号和银行账户被盗。

 

DNSPod为保障大家的帐号域名安全,在发现此漏洞时,工程师已及时关闭对SSLv3的支持。由于API是使用SSLv3加密传输,SSLv3关闭会导致部分开发者在代码里面指定使用SSLv3或者部分系统、浏览器版本较低的用户会出现调用访问API失败的情况。

 

目前DNSPod服务器支持TLS1.2、TLS1.1、TLS1.0这三种协议,工程师提示:可能需要客户端做一定的调整,比如说在调用API的时候指定我们支持的协议版本,或者升级本地系统浏览器等等。

备注:SSLv3关闭,web不受任何影响

该漏洞来自于SSLv3本身使用的算法RC4的缺陷,不是实现问题,该漏洞无法修复,只能将SSLv3当作不安全协议禁用,强制使用TLS。

 

温馨提示:

SSLv3是一款较为古老的加密传输协议,至今已有15年历史,多数网站都兼容SSLv3,因此本次漏洞的影响范围极大。在此,建议广大网民及网站运维人员,应做好以下防范工作:

1. 关闭SSLv3。Windows用户可在IE的“Internet选项->高级”中将“使用SSL 3.0”取消勾选,或通过组策略关闭;网站运维人员可禁用Apache、Nginx等服务器的SSLv3支持。

2. 不使用公共场所的免费WiFi,为家中的路由器做好安全防护工作。

  评论这张
 
阅读(214)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018