我是否容易受到启用了POODLE / SSLv3的测试的攻击

Question

所以这是一个相对较新的问题。

我的网站运行在部署在OPENSuse 10企业版上的Apache2服务器上。据我所知，有一个简单的命令行测试：

 openssl s_client -connect mysite.com:443 -ssl3

假设这将返回"SSL routines:SSL3_READ_BYTES:sslv3警告握手失败：“作为输出，其中之一是不支持SSLv3，这样您就完全没有问题了。事实的确如此。所以测试确认了-我很好。

问题来了，SSLLabs的人有他们自己的测试。这里有一个链接：https://www.ssllabs.com/ssltest/index.html。此测试失败，并表明我实际上是易受攻击的，因为我的服务器支持SSLv3。

所以，是的，两个测试，完全相反的结果。我该相信哪一个？还有其他的测试吗？有什么方法可以确定吗？

Answer 1

我不会依赖于简单的运行测试，学习如何编写SSL配置并实现一个安全的配置，这包括确保在服务器配置级别禁用SSL3。Cipherli.st有一个很好的安全的预制SSL配置列表，

Answer 2

您真的有OPENSuse 10企业版吗？旧版本是否还有安全更新可用？考虑升级您的操作系统！

测试只能检测它正在寻找的安全漏洞。因此，当你从测试中得到警告时，你应该感到恼火并采取行动。如果你没有得到任何警告，测试可能会忽略一个安全漏洞。SSLLabs的测试是一个很好的测试套件。