SSL/TLS协议的网站或者应用同样存在着一定的漏洞,但是这两种协议的安全取决于实现SSL和TLS类库的程序员们的操作细节。今天小凯seo博客和朋友们分享的主题就是SSL/TLS高危协议降权漏洞的原理及修复方案,具体内容如下:
漏洞原理:
攻击者作为中间人迫使TLS握手使用一个低等级的协议或者使用低强度的密码套件,目前浏览器为了兼容性都支持自愿协议降级,它们会首先使用其支持的最高TLS版本尝试连接,如果首次连接失败,则降低协议版本直到连接建立,这一兼容性措施使得使用不安全的低版本协议。
漏洞等级:高危
修复方案:
SCSV方案
使用SCSV(signaling cipher suite value)来让客户端用它们支持的最高版本协议进行通信,当服务器在发现协议版本号不符合的时候强制关闭连接。