話說幫網站加了SSL用了兩年,從沒想到會有資安風險(裝這個不就是為了安全),後來在網路上查到這個 SSL等級 檢測網站,一測不得了 得了個F;原來是之前的SSL資安問題,要關掉SSLV3通訊協定才行。
關掉後發現怎麼還是F 錯誤訊息 OpenSSL Padding Oracle vulnerability (CVE-2016-2107)
原來還要將openssl 改版本
爬文發現這個網站 https://gist.github.com/ArturT/bc8836d3bedff801dc324ac959050d12
以下是他的步驟:
———————————-
# Based on http://fearby.com/article/update-openssl-on-a-digital-ocean-vm/
$ sudo apt-get update
$ sudo apt-get dist-upgrade
維力 素飄香 野菜多 素排骨雞 素紅燒牛肉 麻辣燙 麻油當歸枸杞 蔘湯麵 素食 泡麵 單包 
Xilla 露營 戶外 大力夾雲台手機支架 拓展支架 球型雲台夾 手機架 
現貨超低價 小新玩偶 蠟筆小新 動感新生活係列 潮玩 小新公仔 
手指伸縮狼爪 伸縮爪 機械爪 狼爪 伸縮爪子 $ wget ftp://ftp.openssl.org/source/openssl-1.0.2h.tar.gz
$ tar -xvzf openssl-1.0.2h.tar.gz
$ cd openssl-1.0.2h
$ ./config –prefix=/usr/
$ make depend
$ sudo make install
$ openssl version
# OpenSSL 1.0.2h 3 May 2016
# now restart your nginx or other server
$ sudo service nginx restart
# check your website here https://www.ssllabs.com/ssltest/
———————————-
照他的步驟到了 wget ftp://ftp.openssl.org/source/openssl-1.0.2h.tar.gz 就卡關了,下載不到這個檔案。
花時間找了一下
https://ftp.openssl.org/source/old/1.0.2/ 後來找到這個列表。指令改成:
wget https://ftp.openssl.org/source/old/1.0.2/openssl-1.0.2h.tar.gz
然後再往下執行 make depend 又出現錯誤了,原來是沒有裝gcc
再執行指令:sudo apt-get install gcc
裝完後重下make depend
重啟Apache 指令:sudo service apache2 restart
再去重檢測你的SSL,等級就從F變A了。
網站經營真的很辛苦,其實跟實體店面差不了多少,東西壞了要修少東西要補,光這個SSL憑證就要3000/年
以下為我的作業系統資訊
ubuntu 14.04
若你的ubuntu版本為16.04就已經是修正過的。
其它OS請自行找尋解法,卡關自行依錯誤碼google。