关闭不安全的通讯协定SSLv2,避免遭受中间人攻击
近期国际资安专家研究发现SSLv2具DROWN(Decrypting RSA with Obsolete and Weakened eNcryption , CVE-2016-0800) 安全性漏洞,其主要原因为SSLv2设计不当,导致存在安全威胁,包含:
同一密钥(Secret Key)用于讯息身分验证与加密。
认证密文(Cipher)只支援不安全的MD5杂凑值。
利用修改ClientHello与ServerHello封包,造成中间人(Man In the Middle, MItM)攻击。
目前大多数浏览器、网页服务器(HTTPS)及邮件服务器(SMTPS)均建议不采用SSLv2协定,避免遭受可能风险如:
攻击者可利用SSLv2协定的安全性漏洞,破解金钥交换加密算法,以取得加密金钥,进而还原加密封包,解析通讯内容。