[公告]SSLv3漏洞 通知
尊敬的用户:经调查,知名加密协议SSLv3曝出名为“POODLE”的高危漏洞(漏洞编号CVE-2014-3566),可导致网络中传输的数据被黑客监听,使用户的敏感信息、网络账号和银行账户被盗。
DNSPod为保障大家的帐号域名安全,在发现此漏洞时,工程师已及时关闭对SSLv3的支持。由于API是使用SSLv3加密传输,SSLv3关闭会导致部分开发者在代码里面指定使用SSLv3或者部分系统、浏览器版本较低的用户会出现调用访问API失败的情况。
目前DNSPod服务器支持TLS1.2、TLS1.1、TLS1.0这三种协议,工程师提示:可能需要客户端做一定的调整,比如说在调用API的时候指定我们支持的协议版本,或者升级本地系统浏览器等等。
备注:SSLv3关闭,web不受任何影响
该漏洞来自于SSLv3本身使用的算法RC4的缺陷,不是实现问题,该漏洞无法修复,只能将SSLv3当作不安全协议禁用,强制使用TLS。
温馨提示:
SSLv3是一款较为古老的加密传输协议,至今已有15年历史,多数网站都兼容SSLv3,因此本次漏洞的影响范围极大。在此,建议广大网民及网站运维人员,应做好以下防范工作:
1. 关闭SSLv3。Windows用户可在IE的“Internet选项->高级”中将“使用SSL 3.0”取消勾选,或通过组策略关闭;网站运维人员可禁用Apache、Nginx等服务器的SSLv3支持。
2. 不使用公共场所的免费WiFi,为家中的路由器做好安全防护工作。
页:
[1]