話說幫網站加了SSL用了兩年,從沒想到會有資安風險(裝這個不就是為了安全),後來在網路上查到這個 SSL等級 檢測網站,一測不得了 得了個F;原來是之前的SSL資安問題,要關掉SSLV3通訊協定才行。
關掉後發現怎麼還是F 錯誤訊息 OpenSSL Padding Oracle vulnerability (CVE-2016-2107)
原來還要將openssl 改版本
爬文發現這個網站 https://gist.github.com/ArturT/bc8836d3bedff801dc324ac959050d12
以下是他的步驟:
———————————-
# Based on http://fearby.com/article/update-openssl-on-a-digital-ocean-vm/
$ sudo apt-get update
$ sudo apt-get dist-upgrade
香積麵 藥膳 風味 84gx5包 素泡麵 純素 素食 蔬食 慈濟 靜思 
3M 日本原裝進口 速效型 防水噴霧 170ml 衣物 鞋子 皮革 透氣 防水 團購 
Xilla 露營 戶外 大力夾雲台手機支架 拓展支架 球型雲台夾 手機架 
水壺背袋 水壺網袋 水瓶袋 多色可選 戶外郊遊 登山野餐 可放手機 水壺背帶 $ wget ftp://ftp.openssl.org/source/openssl-1.0.2h.tar.gz
$ tar -xvzf openssl-1.0.2h.tar.gz
$ cd openssl-1.0.2h
$ ./config –prefix=/usr/
$ make depend
$ sudo make install
$ openssl version
# OpenSSL 1.0.2h 3 May 2016
# now restart your nginx or other server
$ sudo service nginx restart
# check your website here https://www.ssllabs.com/ssltest/
———————————-
照他的步驟到了 wget ftp://ftp.openssl.org/source/openssl-1.0.2h.tar.gz 就卡關了,下載不到這個檔案。
花時間找了一下
https://ftp.openssl.org/source/old/1.0.2/ 後來找到這個列表。指令改成:
wget https://ftp.openssl.org/source/old/1.0.2/openssl-1.0.2h.tar.gz
然後再往下執行 make depend 又出現錯誤了,原來是沒有裝gcc
再執行指令:sudo apt-get install gcc
裝完後重下make depend
重啟Apache 指令:sudo service apache2 restart
再去重檢測你的SSL,等級就從F變A了。
網站經營真的很辛苦,其實跟實體店面差不了多少,東西壞了要修少東西要補,光這個SSL憑證就要3000/年
以下為我的作業系統資訊
ubuntu 14.04
若你的ubuntu版本為16.04就已經是修正過的。
其它OS請自行找尋解法,卡關自行依錯誤碼google。