"此服务器易受 DROWN 攻击。在服务器上禁用 SSLv2 协议。"
研究人员发现了 SSL v2 中的 DROWN 漏洞DROWN 表示对使用过时和弱加密的 RSA 解密。它攻击 HTTPS 以及其他依赖于 SSL 和 TLS 协议的服务。
攻击者可以利用 DROWN 漏洞破解用于保护您的敏感数据不被窃取的加密。如果加密被破解,攻击者可以读取/窃取您的敏感通信(例如,密码、财务数据和电子邮件)。在有些情况下,攻击者还可以模拟受信任的网站。
尽管 SSL 2.0 协议在 1996 年因为已知的安全缺陷而被否定,但有些服务器仍在使用它。已知的漏洞/安全缺陷:
在仍然支持 SSL v2 的服务器或服务上禁用 SSL 2.0。
对于 OpenSSL,最简单的解决方案是升级至最新发布的 OpenSSL 版本。
如果您仍在使用较早版本(不再受支持)的 OpenSSL,请升级至受支持的较新版本。
如果您使用的是 IIS 7 或更新版本,则默认禁用 SSL v2。如果您手动启用 SSL v2 支持,请返回去禁用。如果您运行的是较早版本(不再受支持)的 IIS,请升级至 IIS 7 或更新版本。
如果您使用的是 NSS 3.13 或更新版本,则默认禁用 SSL v2。如果您手动启用 SSL v2 支持,请返回去禁用。如果您使用的是较早版本的 NSS,请升级至 NSS 3.13 或更新版本。
如果您的服务器支持 SSL v2,请禁用该支持。
DigiCert 是全球首屈一指的高可信数字证书颁发机构,提供可信赖的 SSL、专用和管理 PKI 部署以及用于新兴 IoT 市场的设备证书。公司成立近十五年,一直致力于不断探索、改进和优化互联网身份认证以及针对客户需求提供定制解决方案的方法。公司如今在传统创新的基础上融入了 Symantec 的专业经验和人才资源,探索更有效的方法引领行业趋势,增强身份识别和数字交互中的可信度。
©2019 DigiCert, Inc. 保留所有权利。DigiCert 及其徽标是 DigiCert, Inc. Symantec 和 Norton 的注册商标,并且他们的徽标是根据 Symantec Corporation 许可证使用的商标。其他名称可能是其各自所有者的商标。