POODLE 安全性漏洞,全名 Padding Oracle On Downgraded Legacy Encryption (CVE-2014-3566),是針對 SSL v3 出現嚴重的漏洞,有心人士可透過特定方式取得加密的片段資訊,以下整理關閉的方式供實體主機或VPS/雲端主機用戶參考。
文章目錄
關閉後的影響:
IE6 (Windows XP用戶) 會無法瀏覽您主機的 SSL 網站,這個族群約占 6%,不過在不久的將來,Google 等大型入口網站都會關閉 SSLv3 的支援,我想這是必經的過程。
目前我們虛擬主機的作法是關閉對應的 SSL Cipher,也就是出問題的演算法,暫時避過此安全性漏洞,待 Google 等指標型網站完全關閉 SSLv3 後再跟進全面關閉。
Apache:
找到下列指令修改,CentOS 可能位於:/etc/httpd/conf.d/ssl.conf
SSLProtocol All -SSLv2 -SSLv3
cPanel/WHM:
登入 WHM >> Apache Configuration >> Global Configuration
找到 SSL Cipher Suite 欄位,加入 -SSLv3,範例:
ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-SSLv3:-EXP:!kEDH
NGINX:
編輯您的 NGINX 設定檔,例: nginx.conf
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
CentOS 6 mail Server Dovecot:
CenoOS6 預設搭載 Dovecot,要關閉 SSLv3 請在設定檔 (/etc/dovecot/local.conf) 尾端加入:
ssl_protocols = !SSLv2 !SSLv3
Microsoft IIS:
請參考此篇文章關閉 SSLv3
以上供各位參考囉!