【漏洞公告】SSL 3.0 安全漏洞

漏洞描述

SSL 3.0 版本当中的安全隐患，和此前的心脏出血漏洞机制类似，允许黑客使用特殊的手段，从 SSL 3.0 覆盖的安全连接下提取到一定字节长度的隐私信息。

SSL 3.0 已经存在 15 年之久，目前绝大多数浏览器都支持该版本。当用户的浏览器使用更新版本的安全协议与服务器进行连接，如果遇到 bug 导致连接失败，会转而尝试更老版本的安全协议（包括 SSL 3.0）进行连接。黑客完全有能力在攻击一个服务器/单一用户的时候故意制造连接失败的情况，触发浏览器的机制使用 SSL 3.0，并且从中获取用户/服务器端的关键信息。

修复方案

Chrome 浏览器用户，使用命令行工具来禁用SSL 3.0。

Windows 用户

1. 完全关闭 Chrome 浏览器。
2. 复制一个平时打开 Chrome 浏览器的快捷方式。
3. 在新的快捷方式上右键单击，进入属性。
4. 在目标后面的空格中字段的末尾输入以下命令 —ssl-version-min=tls1。

Mac OS X 用户

1. 完全关闭 Chrome 浏览器。
2. 找到本机自带的终端（Terminal）。
3. 输入以下命令：/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome —ssl-version-min=tls1

Linux 用户

1. 完全关闭 Chrome 浏览器。
2. 在终端中输入以下命令：google-chrome—ssl-version-min=tls1。

Firefox 浏览器用户：进入关于 > 设置，在地址栏输入 about:config，然后将 security.tls.version.min 调至 1。