Openssl曝DROWN漏洞 CFCA提供安全策略

字号：大中小

　　据多家媒体报道，OpenSSL近日发现一严重漏洞——DROWN漏洞（水牢漏洞），可能使目前至少三分之一的HTTPS服务器瘫痪，受影响的HTTPS服务器数量大约为1150万台左右。利用该漏洞，攻击者可以监听HTTPS加密流量，读取诸如密码、信用卡账号、商业机密和金融数据等加密信息。

　　乍一听，DROWN漏洞似乎具有影响范围广、破坏力强的特点。但经分析后，CFCA安全工程师指出媒体对该漏洞的危害有些危言耸听，其实际影响非常有限。而CFCA给广大OpenSSL用户的的安全策略是：无需对DROWN漏洞过度忧虑，谨慎应对即可。那么，为什么说DROWN漏洞影响有限呢？

　　首先，黑客利用DROWN漏洞的前提是网站服务器在配置中使用sslv2协议进行HTTPS加密。sslv2是一种古老的协议，即使是它的升级版sslv3也已面临淘汰，所以仍在使用sslv2的用户数量很少。目前主流网站使用的是TLS1.0及以上版本的协议。如果TLS1.0曝出漏洞，那才是严重问题。

　　其次，即使网站存在DROWN漏洞，也需要黑客与被攻击者在同一个局域网下，例如入侵对方所处的WiFi网络，或者和对方在同一公司网络等，才能获取对方的流量信息。

　　最后，DROWN漏洞利用难度较高，需要租用计算集群并花费8个小时才能破解密钥。而租用计算集群的成本在400美元左右。在这样的成本下，无目的地攻击普通个人用户，很可能会得不偿失。

Openssl曝DROWN漏洞 CFCA提供安全策略

　　虽然HTTPS网站遭到DROWN漏洞攻击的几率不高，但仍需谨慎应对，所以CFCA建议您立刻进行如下操作：

　　1.OpenSSL官方已经发布了针对该漏洞的官方补丁，请及时更新；

　　2.检查服务器配置，确认sslv2及sslv3协议已被禁用。

Openssl曝DROWN漏洞 CFCA提供安全策略

　　需要指出的是，HTTPS作为一种Web浏览器与网站服务器之间传递信息的协议，该协议以加密形式发送通信内容，可以保证用户上网时的信息无法被第三方截获并解密读取，经过HTTPS加密的网站其安全性远高于未经加密的HTTP网站，通过安装SSL证书实现HTTPS加密是一种必备的网站安全手段。只要服务器在安装SSL证书后进行正确配置（如禁用过时的加密协议），HTTPS的安全性是可以令人放心的。

　　如果您希望了解关于HTTPS网站加密和SSL证书的更多信息，请访问http://www.cfca.com.cn/ssl/　　