狮子狗图片通过Flickr，CC许可证上周，我们一直在跟踪有关SSL中新漏洞的传言。刚刚公布的这个特定漏洞针对的是SSLv3。该漏洞允许攻击者向请求中添加填充，以便随后使用SSLv3协议计算加密的明文。实际上，这允许攻击者在使用SSLv3协议时破坏加密。谷歌在一篇论文中公布了全部细节，并将其命名为"臭虫贵宾犬"（PDF）。一般来说，现代浏览器默认使用更现代的加密协议（例如TLSv1.2）。然而，攻击者有可能在许多浏览器中模拟会导致它们返回到SSLv3的条件。此漏洞的风险是，如果攻击者可以强制降级到SSLv3，那么通过加密连接使用该协议交换的任何流量都可能被截获并读取。作为回应，CloudFlare在默认情况下为所有客户禁用了SSLv3。这将对一些旧的浏览器产生影响，导致SSL连接错误。最大的影响是运行在WindowsXP或更早版本上的InternetExplorer6。为了量化这一点，我们一直在跟踪SSLv3的使用情况。SSLv3使用情况统计在我们的网络中，0.09%的流量是SSLv3。对于HTTPS流量，我们网络中0.65%的流量使用SSLv3。好消息是，大部分流量实际上是攻击流量和一些小型爬虫。对于真实的访客流量，目前CloudFlare总SSL流量的3.12%来自Windows XP用户。其中，1.12%的Windows XP用户使用SSLv3连接。换句话说，即使是在过时的操作系统上，98.88%的Windows XP用户使用TLSv1.0+进行连接，而TLSv1.0+并不易受此漏洞的攻击。除了人类浏览器流量之外，一些爬虫程序默认为SSLv3。我们看到的最大的默认为SSLv3的爬虫是Pingdom的。但是，如果SSLv3不可用，Pingdom的crawler会使用TLS进行适当的测试，而且总是这样，所以对可用性监控没有影响。对于在这一点上的任何困惑，我深表歉意。原文如下，但他们的爬虫程序支持HTTPS，而不是其他协议。]Pingdom是CloudFlare的合作伙伴。我们提醒他们这个问题，并积极与他们合作，以确保他们的爬虫程序将通过SSLv3以外的协议支持HTTPS。覆盖默认值由于CloudFlare的一些客户可能会优先考虑支持广泛的浏览器而不考虑此漏洞带来的风险，因此我们为企业和企业客户启用了一个选项，用户可以在看到错误时启用SSLv3。在接下来的24小时内，您将在CloudFlare控制面板的"安全设置"页面上找到此选项。除非您有特定的原因启用SSLv3，我们强烈建议您在此时将其禁用。接下来，我们正在研究该漏洞，并相信我们可以通过这样一种方式来降低SSLv3的风险，从而为旧浏览器提供支持，同时降低该漏洞的风险。Google的OpenSSL的BoringSSL分支具有防止SSL连接降级的保护（参见IETF关于回退SCSV的帖子）。我们认为，这将消除这一漏洞造成的最大风险。虽然这不能保护IE6连接，但它可以防止攻击者强迫现代浏览器将其SSL连接降级到SSLv3，从而使其易受攻击。随着消息传出，我们将继续跟踪这一漏洞。我们会更新这篇文章，因为我们有更多的信息。