公众平台调整SSL安全策略,请开发者注意升级

最新推荐文章于 2025-04-29 15:05:10 发布
最新推荐文章于 2025-04-29 15:05:10 发布
阅读量1.1k 收藏
点赞数
分类专栏: https 文章标签: https

https://mp.weixin.qq.com/cgi-bin/announce?action=getannouncement&key=1414562353&version=11&lang=zh_CN

近一段时间HTTPS加密协议SSL曝出高危漏洞,可能导致网络中传输的数据被黑客监听,对用户信息、网络账号密码等安全构成威胁。为保证用户信息以及通信安全,微信公众平台将关闭掉SSLv2、SSLv3版本支持,不再支持部分使用SSLv2、 SSLv3或更低版本的客户端调用。请仍在使用这些版本的开发者于11月30日前尽快修复升级。


注意:通过微信开放平台(open.weixin.qq.com)进行移动应用和网页应用开发的开发者也同样需要修复升级。

建议开发者使用如下方法进行修复:
OpenSSL(http://www.openssl.org)可使用SSL_CTX *SSL_CTX_new(const SSL_METHOD *method)函数设置SSL客户端请求方法,使用TLSv1_client_method或更高版本。

示例1(php):
curl_setopt($curl, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

示例2(C#):

System.Net.ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls | SecurityProtocolType.Tls11 | SecurityProtocolType.Tls12


测试环境:

61.151.186.115  api.weixin.qq.com

开发者可将上述DNS信息配置到hosts文件中。在该环境下,如果通过低版本的SSL调用接口,将会直接报错,提示连接失败。按指引修复成功的将可以正常进行接口调用,以检测是否修复成功。


Nginx与SSL/TLS:实现HTTPS安全通信的最佳实践
java专栏
09-07 1407
SSL(Secure Sockets Layer)和TLS(Transport Layer Security)是两个加密协议,它们是数字世界中保护信息安全的盾牌。SSL是最初的版本,后来被TLS所取代。不过,人们通常还是习惯将它们统称为SSLSSL/TLS的作用是为数据传输提供一个安全层,确保数据在传输过程中不被窃听或篡改。它们通过使用加密算法来实现这一点,只有拥有正确密钥的人才能解读加密后的数据。
[055] SSL 3.0曝出Poodle漏洞的解决方案-----开发者
柳峰的专栏
11-03 3万+
SSL 3.0曝出高危险漏洞 2014年10月15日,Google研究人员公布SSL 3.0协议存在一个非常严重的漏洞,更让人不安的是几乎所有的浏览器都支持SSL 3.0协议。SSL 3.0的漏洞可被黑客用于截取浏览器与服务器之间进行传输的加密数据,如网银账号、支付宝账号、个人隐私等等,后果的严重性相信不用我多说。 SSL 3.0的漏洞允许攻击者发起降级攻击,即欺骗浏览器说服务器不支持更安全的安全
SharpTLSScan:扫描服务器以获取受支持的SSL和TLS版本以及密码套件。 同时检查服务器的证书。 支持SSLv2-TLSv1.2
04-29
夏普TLS扫描 该应用程序扫描服务器以查看其支持的SSL和TLS版本以及哪些密码套件。 它与名为sslscan( )和sslscan-win( )的程序非常相似。已在5年内进行了更新,因此不支持TLS 1.1或1.2,这就是我编写此工具的原因。 您可以在此处下载源代码,也可以从我的博客获取可执行文件 更新到v1.3。 由于Poodle,将所有SSLv3更改为YELLOW。 删除了“正在使用...”文本,因为该文本与stdout混淆,并且如果您要以自动化方式使用此程序,则其他程序将更难以解析该程序的输出。 添加了NoSchannel参数,该参数绕过证书和SChannel内容,直接进入密码扫描。
公众平台调整SSL安全策略 不再支持SSLv2、SSLv3版本
weixin_33908217的博客
10-29 973
  昨天夜间,微信团队发布重要安全策略调整,将关闭掉SSLv2、SSLv3版本支持,不再支持部分使用SSLv2、 SSLv3或更低版本的客户端调用。仍在使用这些版本的开发者于11月30日前尽快修复升级。 近一段时间HTTPS加密协议SSL曝出高危漏洞,可能导致网络中传输的数据被黑客监听,对用户信息、网络账号密码等安全构成威胁。为保证用户信息以及通信安全,微信公众平台将关闭掉SSLv2、SS...
IHS配置安全漏洞: 支持不推荐使用的 SSL 版本、在降级的旧加密上填充 Oracle、检测到 RC4 密码套件、支持弱 SSL 密码套件、 重构 RSA 导出键(又称为 FREAK)
隐0士的博客
08-11 9859
都是由于ihs配置中支持不推荐使用的ssl版本和弱密码套件引起的。 只要在配置文件中禁用sslv2,sslv3和申明使用的非弱密码套件即可,在/opt/IBM/HTTPServer/conf目录下的httpd.conf配置文件添加一下代码 # Example SSL configuration which supports SSLv3 and TLSv1 # To enable th
小程序与小游戏获取用户信息接口调整开发者注意升级
兔子零
05-19 783
为优化用户体验,使用 wx.getUserInfo 接口直接弹出授权框的开发方式将逐步不再支持。从2018年4月30日开始,小程序与小游戏的体验版、开发版调用 wx.getUserInfo 接口,将无法弹出授权询问框,默认调用失败。正式版暂不受影响。开发者可使用以下方式获取或展示用户信息: 一、小程序: 1、使用 button 组件,并将 open-type 指定为 getUserInfo 类型...
小程序与小游戏获取用户信息接口调整开发者注意升级
JackieDYH的博客
09-24 506
微信官方原话:(打人) 为优化用户体验,使用 wx.getUserInfo 接口直接弹出授权框的开发方式将逐步不再支持。从2018年4月30日开始,小程序与小游戏的体验版、开发版调用 wx.getUserInfo 接口,将无法弹出授权询问框,默认调用失败。正式版暂不受影响。开发者可使用以下方式获取或展示用户信息 一、小程序: 1、使用 button 组件,并将 open-type 指定为 getUserInfo 类型,获取用户基本信息。 详情参考文档: https://developers.w
Web安全防护:抵御XSS和CSRF攻击的策略:Web开发者的安全宝典
[Web安全防护:抵御XSS和CSRF攻击的策略:Web开发者的安全宝典](https://opengraph.githubassets.com/0c04395edefe222e846a05e680c002e4f5e66acbe525d8b2a1ea582bc77d52e9/OWASP/owasp-java-encoder) # 摘要 随着...
PHP微信公众平台开发中的安全考虑与最佳实践
在PHP微信公众平台开发中,开发者需要重点关注以下常见安全威胁,以确保平台的安全性和稳定性: ### 2.1 跨站脚本(XSS)攻击 XSS攻击是指攻击者在网页中插入恶意脚本,当用户浏览网页时,恶意脚本会执行,从而...
PHP微信公众平台开发:天气数据的存储与备份策略
# 1. 微信公众平台开发简介 ...通过PHP,开发者可以利用微信公众平台的API接口,实现用户消息处理、自定义菜单、素材管理等功能。 ## 1.3 天气数据在微信公众平台中的重要性 天气数据在微信公众平台中具有重要的应用
appscan无法连接到服务器_此网站无法提供安全连接 ,客户端和服务器不支持一般 SSL 协议版本或加密套件。...
weixin_39856630的博客
11-24 2238
记录一次配置阿里云CDN的故障:配置CDN和CNAME后,网站时不时无法访问,报错提示:此网站无法提供安全连接 https://www.yunglobe.com/ 使用了不受支持的协议。 ERR_SSL_VERSION_OR_CIPHER_MISMATCH 协议不受支持 客户端和服务器不支持一般 SSL 协议版本或加密套件。 咨询官方回复:源站配置https没有的,因为您域名使用了cdn加速,用户...
微信公众平台 JSSDK 示例代码 CURL SSL配置项错误
weixin_34014555的博客
05-10 311
2019独角兽企业重金招聘Python工程师标准>>> ...
放弃使用sslv2,sslv3协议,使用tlsv1.2,tlsv1.1版本
学海无涯
03-07 1万+
推荐一个网站测试自己网站的https的安全性: https://myssl.com。比如测试下面的网站如下: 评级只有5,myssl给的理由为:服务器易受到POODLE漏洞攻击,降级为5。POODLE漏洞为使用了不安全的sslv2和sslv3协议导致, 将协议去掉了,评级还是为5。后面测试原来是由于该服务器的其他站点仍支持sslv2,sslv3导致。于是去掉sslv2和sslv3协议的支持后: ...
IBM AppScan 安全扫描:检测到RC4密码套件,服务器支持以下较弱的密码套件
崔向阳@李晓的博客
12-06 9092
一问题描述: IBM Security AppScan Standard给出系统安全报告: 二解决: 下面是JDK对TLS版本的支持情况: 1. weblogic禁用SSLv3算法 编缉$DOMAIN_HOME/bin目录下的setDomainEnv.sh,找到"JAVA_OPTIONS="处,对于10.3.6.x及之后的版本在其后追加: -Djava.net.prefe...
一文讲清SSL协议
you are sherlocked by me!
10-15 5000
OSI七层模型 计算机网络的OSI七层模型和TCP/IP四层模型想必大家都知道。其中SSL/TLS是一种介与于传输层(比如TCP/IP)和应用层(比如HTTP)的协议。它通过"握手协议(Handshake Protocol)"和"传输协议(Record Protocol)"来解决传输安全的问题。SSL/TLS是一个可选层,没有它,使用HTTP也可以通信,它存在的目的就是为了解决安全问题,这也就是HTTPS相对于HTTP的精髓所在 SSL协议 SSL(Secure Sockets Layer)最初由N
深入理解SSLv3和TLSv1的握手协议和密码计算
最新发布
weixin_28736145的博客
04-29 532
本篇博客详细解析了传输层安全协议SSLv3和TLSv1的关键组成部分,包括服务器和客户端如何通过证书进行认证、密钥交换机制以及握手过程的最终阶段。文章深入探讨了密钥计算和散列算法的运用,以及如何通过这些过程确保数据传输的安全性。此外,还对比了SSLv3和TLSv1之间的差异,特别是HMAC算法的使用。
关于centos8自带的apache2.4开启https后,XP系统的IE6和IE8无法显示网页的问题
ZLK1214的专栏
04-08 1192
在/etc/ld.so.conf.d文件夹中新建一个mynewssl.conf文件,内容为/opt/openssl-1.0.1f/lib。访问 http://xxx.com 自动跳转到 https://xxx.com ,出来的是/home/xxx/xxx下的网站。在/opt/httpd-2.2.23/conf/httpd.conf末尾加入。【配置虚拟主机:/home/xxx/xxx/config/xxx.conf】打开/opt/httpd-2.2.23/conf/httpd.conf,将。
NotOpenSSLWarning报错解决
weixin_38682092的博客
01-30 2254
要解决这个问题,你需要升级你的OpenSSL库到1.1.1或更高版本。然后,确保你的Python使用新安装的OpenSSL库。最后,重新运行你的Python脚本,问题应该已经解决。
服务器配置https协议,三种免费的方法
热门推荐
HashTang的博客
05-30 3万+
最近想搞一个网站玩玩,发布网站用https协议已经是大势所趋了。例如微信小程序,不使用https协议根本不让接入。所以,分享一下我尝试过的三种方法。 1.Linux自签(OPENSSL生成SSL自签证书) 2.阿里云免费证书 3.Let’s Encrypt永久免费SSL证书【墙裂推荐】 一、Linux自签(OPENSSL生成SSL自签证书) 第1步:生成私钥 ...
Python-snallygaster工具:扫描HTTP服务器的隐藏安全风险
这些文件由于配置错误或其他原因而意外地对公众开放,可能会泄露敏感信息,对网站的安全性构成威胁。Snallygaster工具通过自动化扫描过程,帮助安全专家和系统管理员识别这类风险。 ### 知识点一:Python-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值