据多家媒体报道,OpenSSL近日发现一严重漏洞——DROWN漏洞(水牢漏洞),可能使目前至少三分之一的HTTPS服务器瘫痪,受影响的HTTPS服务器数量大约为1150万台左右。利用该漏洞,攻击者可以监听HTTPS加密流量,读取诸如密码、信用卡账号、商业机密和金融数据等加密信息。
乍一听,DROWN漏洞似乎具有影响范围广、破坏力强的特点。但经分析后,CFCA安全工程师指出媒体对该漏洞的危害有些危言耸听,其实际影响非常有限。而CFCA给广大OpenSSL用户的的安全策略是:无需对DROWN漏洞过度忧虑,谨慎应对即可。那么,为什么说DROWN漏洞影响有限呢?
首先,黑客利用DROWN漏洞的前提是网站服务器在配置中使用sslv2协议进行HTTPS加密。sslv2是一种古老的协议,即使是它的升级版sslv3也已面临淘汰,所以仍在使用sslv2的用户数量很少。目前主流网站使用的是TLS1.0及以上版本的协议。如果TLS1.0曝出漏洞,那才是严重问题。
其次,即使网站存在DROWN漏洞,也需要黑客与被攻击者在同一个局域网下,例如入侵对方所处的WiFi网络,或者和对方在同一公司网络等,才能获取对方的流量信息。
最后,DROWN漏洞利用难度较高,需要租用计算集群并花费8个小时才能破解密钥。而租用计算集群的成本在400美元左右。在这样的成本下,无目的地攻击普通个人用户,很可能会得不偿失。
虽然HTTPS网站遭到DROWN漏洞攻击的几率不高,但仍需谨慎应对,所以CFCA建议您立刻进行如下操作:
1.OpenSSL官方已经发布了针对该漏洞的官方补丁,请及时更新;
2.检查服务器配置,确认sslv2及sslv3协议已被禁用。
需要指出的是,HTTPS作为一种Web浏览器与网站服务器之间传递信息的协议,该协议以加密形式发送通信内容,可以保证用户上网时的信息无法被第三方截获并解密读取,经过HTTPS加密的网站其安全性远高于未经加密的HTTP网站,通过安装SSL证书实现HTTPS加密是一种必备的网站安全手段。只要服务器在安装SSL证书后进行正确配置(如禁用过时的加密协议),HTTPS的安全性是可以令人放心的。
如果您希望了解关于HTTPS网站加密和SSL证书的更多信息,请访问http://www.cfca.com.cn/ssl/