"此服务器易受 DROWN 攻击。在服务器上禁用 SSLv2 协议。"
研究人员发现了 SSL v2 中的 DROWN 漏洞DROWN 表示对使用过时和弱加密的 RSA 解密。它攻击 HTTPS 以及其他依赖于 SSL 和 TLS 协议的服务。
攻击者可以利用 DROWN 漏洞破解用于保护您的敏感数据不被窃取的加密。如果加密被破解,攻击者可以读取/窃取您的敏感通信(例如,密码、财务数据和电子邮件)。在有些情况下,攻击者还可以模拟受信任的网站。
尽管 SSL 2.0 协议在 1996 年因为已知的安全缺陷而被否定,但有些服务器仍在使用它。已知的漏洞/安全缺陷:
在仍然支持 SSL v2 的服务器或服务上禁用 SSL 2.0。
对于 OpenSSL,最简单的解决方案是升级至最新发布的 OpenSSL 版本。
如果您仍在使用较早版本(不再受支持)的 OpenSSL,请升级至受支持的较新版本。
如果您使用的是 IIS 7 或更新版本,则默认禁用 SSL v2。如果您手动启用 SSL v2 支持,请返回去禁用。如果您运行的是较早版本(不再受支持)的 IIS,请升级至 IIS 7 或更新版本。
如果您使用的是 NSS 3.13 或更新版本,则默认禁用 SSL v2。如果您手动启用 SSL v2 支持,请返回去禁用。如果您使用的是较早版本的 NSS,请升级至 NSS 3.13 或更新版本。
如果您的服务器支持 SSL v2,请禁用该支持。
DigiCert is the world's leading provider of scalable TLS/SSL, IoT and PKI solutions for identity and encryption. The most innovative companies, including 89% of the Fortune 500 and 97 of the 100 top global banks, choose DigiCert for its expertise in identity and encryption for web servers and Internet of Things devices. DigiCert supports TLS and other digital certificates for PKI deployments at any scale through its certificate lifecycle management solution, CertCentral®. The company is recognized for its enterprise-grade certificate management platform, fast and knowledgeable customer support, and market-leading security solutions. For the latest DigiCert news and updates, visit digicert.com or follow @digicert.
©2020 DigiCert, Inc. All rights reserved. DigiCert, its logo and CertCentral are registered trademarks of DigiCert, Inc. Norton and the Checkmark Logo are trademarks of NortonLifeLock Inc. used under license. Other names may be trademarks of their respective owners.