协议降级攻击的解决方案

Question

我在我的网站上有协议降级攻击，我已经看到了做TLS回退信令密码套件值(SCSV)以防止协议降级攻击的解决方案。

参考链接

有谁能建议我们如何实施SCSV呢？我是真正的网络服务器和安全新手，并希望一步一步的解决方案。

Answer 1

同时，客户端和服务器都需要支持它以使其工作。在握手期间，TLS回退SCSV用作信令密码套件(TLS_FALLBACK_SCSV，值0x5600)。所有新浏览器(客户端)都支持它。在服务器上，您将通过更新OpenSSL来启用它。

来自https://www.openssl.org/news/secadv/20141015.txt：

OpenSSL 1.0.1 users should upgrade to 1.0.1j
OpenSSL 1.0.0 users should upgrade to 1.0.0o
OpenSSL 0.9.8 users should upgrade to 0.9.8zc

Debian和其他发行版正在OpenSSL上部署TLS-FALLBACK SCSV更新的后端。

此外，仅进行升级是不够的。您必须禁用SSLv2和SSLv3。

参考资料：

https://alpacapowered.wordpress.com/2014/10/20/ssl-poodle-attack-what-is-this-scsv-thingy/https://wiki.openssl.org/index.php/SSL_模式_发送_退却_SCSVhttps://stackoverflow.com/questions/26406586/how-to-enable-tls-fallback-scsv-on-apache