技术分享:国内CDN厂商节点存在SSL安全隐患

时间:2016-12-1 作者:烈火君 分类: 技术

2016年12月14日,光网烈火安全研究人员,在国内三大互联网CDN提供商中测试发现,节点部署都存在SSL安全隐患。其中包括阿里、腾讯、七牛。

技术分享:国内CDN厂商节点存在SSL安全隐患

测试报告如下:

1.阿里云 节点测试IP139.209.206.100;服务器安全部署隐患为:服务器支持较弱的DH密钥交换参数,安全等级被降低至B(this server supports weak diffie-hellman (DH) key exchange parameters. Grade capped to B)

阿里云CDN节点SSL安全检测

2.腾讯云

节点测试IP183.95.154.13;服务器安全部署隐患为:服务器不支持使用浏览器完全正向保密(详细信息),安全等级被降低至A-(The server does not support Forward Secrecy with the reference browsers. Grade reduced to A-.)

腾讯云CDN节点SSL安全检测

3.七牛云

节点测试IP220.243.230.131;服务器安全部署隐患为:CVE-2016-2107的重大安全隐患,受到贵宾犬的攻击,且开启了已经过时的SSL v3隐患协议。(this server is vulnerable to the poodle attack. if possible, disable ssl 3 to mitigate. grade capped to C. this server is vulnerable to the openssl padding oracle vulnerable(CVE-2016-2107) and insecure. grade set to F.)

七牛云CDN节点SSL安全检测

让安全人员匪夷所思的是,这些安全漏洞和隐患只出现在提供给普通用户的CDN服务器节点中,而这些CDN提供者的官方网站经检测却是安全的,这不得不让人怀疑背后是不是有什么肮脏的屁眼交易。俗话说的好,细节决定成败。配置人员疏忽大意也好,监守自盗也罢,不安全的产品我们只有拒绝之,才能免受损失。

1.推荐大家使用HSTS+HPKP+独立IP主机来部署https站点

2.本文由光网烈火互联网安全研究组原创,如需转载请署名出处。

(技术分享:国内CDN厂商节点存在SSL安全隐患 https://lighttp.com/?f=21)

神来一句