2019-07-18

修复poodle漏洞
Apache用户：

编辑您的Apache配置文件/etc/httpd/conf.d/ssl.conf，更新下列值如下所示。Apache的用户进行更改后需要重新启动Apache服务。

SSLProtocol all -SSLv3 -SSLv2

1

NGINX用户：

所有NGINX用户编辑nginx的配置文件/etc/nginx/nginx.conf ，更新如下以下值。更新设置后重启nginx服务。

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

1

server {

listen      80;

location /  {

root    /web/pub/xxx/;

ssi      on;

index    index.htm index.html index.shtml;

        }

server_name  www.huangbaokang.cn;

        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

        ssl_session_cache    shared:SSL:10m;

        ssl_session_timeout  5m;

        ssl_ciphers  HIGH:!aNULL:!MD5;

        ssl_prefer_server_ciphers  on;

error_log    /u01/apps/nginx/logs/www.huangbaokang.cn-error.log;

access_log  /u01/apps/nginx/logs/www.huangbaokang.cn-access.log;

    }

IIS

将下面的内容保存为fix.reg，并双击运行来修改注册表：大概是你的文件开头少了 REGEDIT4 且一定要大写

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES56/56]"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL]"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC240/128]"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC256/128]"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC440/128]"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC456/128]"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC464/128]"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT1.0\Server]"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL2.0\Server]"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL3.0\Server]"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL3.0\Client]"DisabledByDefault"=dword:00000001

OpenSSL SSLv2协议"Drown"漏洞(CVE-2016-0800)

临时解决方案：

*禁用 SSLv2 协议

   Apache中配置：

   SSLProtocol All -SSLv2 -SSLv3

   Nginx配置：

ssl_protocolsTLSv1 TLSv1.1 TLSv1.2

IIS 用户

在注册表中禁用不安全的加密算法和不安全的 SSL 协议。操作步骤如下：

单击 开始 > 运行，输入 “regedit”，然后回车。

前往如下路径：HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

打开 Protocols\PCT

    1.0\Server，右击空白处新建 字符串值，并命名为Enabled。双击该键值，填入0，并确定。

参照步骤 iii，分别对以下键执行同样操作。

Protocols\SSL 2.0\Server

Ciphers\DES 56/56

Ciphers\RC2 40/128

Ciphers\RC2 128/128

Ciphers\RC4 40/128

Ciphers\RC4 56/128

Ciphers\RC4 128/128

修改完成后，重启电脑使设置生效。

升级OpenSSL：

修复步骤:

(1). 升级OpenSSL软件包

CentOS、Redhat 可以通过以下命令来升级

#yum clean

#yum update openssl

(2). ubuntu 版本可以通过以下命令来升级

#apt-get upgrade openssl

方法看着很多，但是对应系统能实现的很少，实现了也未必成功。