原文閱讀：openSSL漏洞致使SSL證書安全配置評級F

SSL數字證書在服務器配置不當會暴露更多的安全漏洞，因此給黑客提供了攻擊網站提供了便利和入口，通常我們會借助SSLLABS進行測試SSL安全部署的評級結果，評級結果A+、A都是相對比較安全的安全配置。

通常交換密鑰、加密算法、加密套件等都正常的情況下，使用SSLLABS得到評測結果為F時，一般都是致命缺陷，通常是因舊版的OpenSSL或者使用OpenSSL編譯產生的漏洞。本案例中拋出的錯誤信息如下：

• 服務器易受攻擊，引起原因：OpenSSL CCS vulnerability (CVE-2014-0224)，評級F；
• 服務器易受攻擊，引起原因：OpenSSL Padding Oracle vulnerability (CVE-2016-2107) 評級F；
• 服務器易受攻擊，引起原因：Heartbleed attack. 評級F；

關于漏洞的專業解釋參考：常見的幾種SSL/TLS漏洞及攻擊方式

OpenSSL CCS 注入漏洞（CVE-2014-0224）

這是一個2014年暴出的OpenSSL的嚴重安全漏洞，該漏洞使得攻擊者可以攔截惡意中間節點加密和解密數據，同時迫使使用弱密鑰的SSL客戶端暴露在惡意節點。當軟件使用OpenSSL的受影響版本，通過網頁瀏覽、電子郵件和VPN進行內容和身份驗證等加密通訊時會有篡改的風險。

受影響的版本

• OpenSSL 1.0.1 - 1.0.1g
• OpenSSL 1.0.0 - 1.0.0l
• OpenSSL 0.9.8y 早前的所有版本

OpenSSL Padding Oracle 攻擊（CVE-2016-2017）

這是一個2016年暴出的OpenSSL的嚴重安全漏洞，該漏洞對于開源加密庫的影響可以被用來進行中間人攻擊。只要用于連接的是AES CBC密碼和支持AES NI的服務器,那么攻擊者就可以利用“Padding Oracle攻擊”解密HTTPS通信。

受影響的版本

• OpenSSL 1.0.2 - 1.0.2h
• OpenSSL 1.0.1 - 1.0.1t
• OpenSSL 1.0.0
• OpenSSL 0.9.8 早前所有版本

心血漏洞(Heartbleed)（CVE-2014-0160）

在OpenSSL1.0.1版本的心跳包模塊存在嚴重漏洞（CVE-2014-0160），攻擊者可以通過構造特殊的數據包，直接遠程讀取存在漏洞的OpenSSL服務器內存中多達64KB的數據，極有可能導致網站用戶帳號密碼等敏感數據被非法獲取。

受影響的版本

• OpenSSL 1.0.1f

解決方案

1、所以本測試場景解決這些漏洞和評級的辦法就是升級openSSL版本

openssl version -a OpenSSL 1.0.2g 1 Mar 2016

保證openssl的版本不在上述受影響的版本范圍內即可，然后重新編譯時加入最新的openSSL版本

2、重新編譯時移除弱加密支持，例如我們在編譯Nginx版本時不要再加上弱加密支持

--with-openssl=/root/openssl --with-openssl-opt=enable-weak-ssl-ciphers #本行移除

編譯后的服務器再使用SSLLABS測試可正常達到A的評級，關于Nginx的編譯安裝請參考：指定版本的openSSL編譯安裝Nginx

更多資訊請關注infinisign.com 官網，關注同名微信公眾號獲取更多優惠

INFINISIGN

總結

以上是生活随笔為你收集整理的qt 中使用openssl_openSSL漏洞致使SSL证书安全配置评级F的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。