公众平台调整SSL安全策略,请开发者注意升级

最新推荐文章于 2025-05-14 21:15:08 发布
最新推荐文章于 2025-05-14 21:15:08 发布
阅读量1.1k 收藏
点赞数
分类专栏: https 文章标签: https

https://mp.weixin.qq.com/cgi-bin/announce?action=getannouncement&key=1414562353&version=11&lang=zh_CN

近一段时间HTTPS加密协议SSL曝出高危漏洞,可能导致网络中传输的数据被黑客监听,对用户信息、网络账号密码等安全构成威胁。为保证用户信息以及通信安全,微信公众平台将关闭掉SSLv2、SSLv3版本支持,不再支持部分使用SSLv2、 SSLv3或更低版本的客户端调用。请仍在使用这些版本的开发者于11月30日前尽快修复升级。


注意:通过微信开放平台(open.weixin.qq.com)进行移动应用和网页应用开发的开发者也同样需要修复升级。

建议开发者使用如下方法进行修复:
OpenSSL(http://www.openssl.org)可使用SSL_CTX *SSL_CTX_new(const SSL_METHOD *method)函数设置SSL客户端请求方法,使用TLSv1_client_method或更高版本。

示例1(php):
curl_setopt($curl, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

示例2(C#):

System.Net.ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls | SecurityProtocolType.Tls11 | SecurityProtocolType.Tls12


测试环境:

61.151.186.115  api.weixin.qq.com

开发者可将上述DNS信息配置到hosts文件中。在该环境下,如果通过低版本的SSL调用接口,将会直接报错,提示连接失败。按指引修复成功的将可以正常进行接口调用,以检测是否修复成功。


Nginx与SSL/TLS:实现HTTPS安全通信的最佳实践
java专栏
09-07 1410
SSL(Secure Sockets Layer)和TLS(Transport Layer Security)是两个加密协议,它们是数字世界中保护信息安全的盾牌。SSL是最初的版本,后来被TLS所取代。不过,人们通常还是习惯将它们统称为SSLSSL/TLS的作用是为数据传输提供一个安全层,确保数据在传输过程中不被窃听或篡改。它们通过使用加密算法来实现这一点,只有拥有正确密钥的人才能解读加密后的数据。
[055] SSL 3.0曝出Poodle漏洞的解决方案-----开发者
热门推荐
柳峰的专栏
11-03 3万+
SSL 3.0曝出高危险漏洞 2014年10月15日,Google研究人员公布SSL 3.0协议存在一个非常严重的漏洞,更让人不安的是几乎所有的浏览器都支持SSL 3.0协议。SSL 3.0的漏洞可被黑客用于截取浏览器与服务器之间进行传输的加密数据,如网银账号、支付宝账号、个人隐私等等,后果的严重性相信不用我多说。 SSL 3.0的漏洞允许攻击者发起降级攻击,即欺骗浏览器说服务器不支持更安全的安全
SharpTLSScan:扫描服务器以获取受支持的SSL和TLS版本以及密码套件。 同时检查服务器的证书。 支持SSLv2-TLSv1.2
04-29
夏普TLS扫描 该应用程序扫描服务器以查看其支持的SSL和TLS版本以及哪些密码套件。 它与名为sslscan( )和sslscan-win( )的程序非常相似。已在5年内进行了更新,因此不支持TLS 1.1或1.2,这就是我编写此工具的原因。 您可以在此处下载源代码,也可以从我的博客获取可执行文件 更新到v1.3。 由于Poodle,将所有SSLv3更改为YELLOW。 删除了“正在使用...”文本,因为该文本与stdout混淆,并且如果您要以自动化方式使用此程序,则其他程序将更难以解析该程序的输出。 添加了NoSchannel参数,该参数绕过证书和SChannel内容,直接进入密码扫描。
公众平台调整SSL安全策略 不再支持SSLv2、SSLv3版本
weixin_33908217的博客
10-29 973
  昨天夜间,微信团队发布重要安全策略调整,将关闭掉SSLv2、SSLv3版本支持,不再支持部分使用SSLv2、 SSLv3或更低版本的客户端调用。仍在使用这些版本的开发者于11月30日前尽快修复升级。 近一段时间HTTPS加密协议SSL曝出高危漏洞,可能导致网络中传输的数据被黑客监听,对用户信息、网络账号密码等安全构成威胁。为保证用户信息以及通信安全,微信公众平台将关闭掉SSLv2、SS...
IHS配置安全漏洞: 支持不推荐使用的 SSL 版本、在降级的旧加密上填充 Oracle、检测到 RC4 密码套件、支持弱 SSL 密码套件、 重构 RSA 导出键(又称为 FREAK)
隐0士的博客
08-11 9859
都是由于ihs配置中支持不推荐使用的ssl版本和弱密码套件引起的。 只要在配置文件中禁用sslv2,sslv3和申明使用的非弱密码套件即可,在/opt/IBM/HTTPServer/conf目录下的httpd.conf配置文件添加一下代码 # Example SSL configuration which supports SSLv3 and TLSv1 # To enable th
小程序与小游戏获取用户信息接口调整开发者注意升级
兔子零
05-19 783
为优化用户体验,使用 wx.getUserInfo 接口直接弹出授权框的开发方式将逐步不再支持。从2018年4月30日开始,小程序与小游戏的体验版、开发版调用 wx.getUserInfo 接口,将无法弹出授权询问框,默认调用失败。正式版暂不受影响。开发者可使用以下方式获取或展示用户信息: 一、小程序: 1、使用 button 组件,并将 open-type 指定为 getUserInfo 类型...
小程序与小游戏获取用户信息接口调整开发者注意升级
JackieDYH的博客
09-24 506
微信官方原话:(打人) 为优化用户体验,使用 wx.getUserInfo 接口直接弹出授权框的开发方式将逐步不再支持。从2018年4月30日开始,小程序与小游戏的体验版、开发版调用 wx.getUserInfo 接口,将无法弹出授权询问框,默认调用失败。正式版暂不受影响。开发者可使用以下方式获取或展示用户信息 一、小程序: 1、使用 button 组件,并将 open-type 指定为 getUserInfo 类型,获取用户基本信息。 详情参考文档: https://developers.w
Web安全防护:抵御XSS和CSRF攻击的策略:Web开发者的安全宝典
[Web安全防护:抵御XSS和CSRF攻击的策略:Web开发者的安全宝典](https://opengraph.githubassets.com/0c04395edefe222e846a05e680c002e4f5e66acbe525d8b2a1ea582bc77d52e9/OWASP/owasp-java-encoder) # 摘要 随着...
PHP微信公众平台开发中的安全考虑与最佳实践
在PHP微信公众平台开发中,开发者需要重点关注以下常见安全威胁,以确保平台的安全性和稳定性: ### 2.1 跨站脚本(XSS)攻击 XSS攻击是指攻击者在网页中插入恶意脚本,当用户浏览网页时,恶意脚本会执行,从而...
PHP微信公众平台开发:天气数据的存储与备份策略
# 1. 微信公众平台开发简介 ...通过PHP,开发者可以利用微信公众平台的API接口,实现用户消息处理、自定义菜单、素材管理等功能。 ## 1.3 天气数据在微信公众平台中的重要性 天气数据在微信公众平台中具有重要的应用
appscan无法连接到服务器_此网站无法提供安全连接 ,客户端和服务器不支持一般 SSL 协议版本或加密套件。...
weixin_39856630的博客
11-24 2239
记录一次配置阿里云CDN的故障:配置CDN和CNAME后,网站时不时无法访问,报错提示:此网站无法提供安全连接 https://www.yunglobe.com/ 使用了不受支持的协议。 ERR_SSL_VERSION_OR_CIPHER_MISMATCH 协议不受支持 客户端和服务器不支持一般 SSL 协议版本或加密套件。 咨询官方回复:源站配置https没有的,因为您域名使用了cdn加速,用户...
微信公众平台 JSSDK 示例代码 CURL SSL配置项错误
weixin_34014555的博客
05-10 313
2019独角兽企业重金招聘Python工程师标准>>> ...
放弃使用sslv2,sslv3协议,使用tlsv1.2,tlsv1.1版本
学海无涯
03-07 1万+
推荐一个网站测试自己网站的https的安全性: https://myssl.com。比如测试下面的网站如下: 评级只有5,myssl给的理由为:服务器易受到POODLE漏洞攻击,降级为5。POODLE漏洞为使用了不安全的sslv2和sslv3协议导致, 将协议去掉了,评级还是为5。后面测试原来是由于该服务器的其他站点仍支持sslv2,sslv3导致。于是去掉sslv2和sslv3协议的支持后: ...
IBM AppScan 安全扫描:检测到RC4密码套件,服务器支持以下较弱的密码套件
崔向阳@李晓的博客
12-06 9092
一问题描述: IBM Security AppScan Standard给出系统安全报告: 二解决: 下面是JDK对TLS版本的支持情况: 1. weblogic禁用SSLv3算法 编缉$DOMAIN_HOME/bin目录下的setDomainEnv.sh,找到"JAVA_OPTIONS="处,对于10.3.6.x及之后的版本在其后追加: -Djava.net.prefe...
window服务器禁用默认的ssl2.0和ssl3.0,只启用tls1.2保证安全
各自安好、的博客
08-04 1万+
漏洞介绍: TLS/SSL介绍: SSL“安全套接层”协议,TLS“安全传输层”协议,都属于是加密协议,在其网络数据传输中起到保护隐私和数据的完整性。保证该网络传输的信息不会被未经授权的元素拦截或修改,从而确保只有合法的发送者和接收者才能完全访问并传输信息。 SSL3漏洞 2014年10月14号由Google发现的POODLE漏洞,全称是Padding Oracle On Downloaded Legacy Encryption vulnerability,POODLE TLS(CVE-2014-8730)
【​​HTTPS基础概念与原理​】​​SSL/TLS协议演进史:从SSLv3到TLS 1.3
最新发布
DZ Space
05-14 1077
SSL/TLS协议从SSLv3到TLS 1.3的演进历程,反映了网络安全技术的不断进步。SSLv3作为首个加密通信协议,虽引入加密和消息认证码,但因POODLE攻击等漏洞被淘汰。TLS 1.0和1.1在SSLv3基础上改进,但仍面临BEAST和CRIME等攻击,逐渐被更安全的TLS 1.2取代。TLS 1.2引入AEAD加密模式和强哈希算法,成为行业主流。最新的TLS 1.3进一步精简协议,提升性能,支持0-RTT握手和量子安全算法,被广泛采用。协议演进的核心驱动力是提升安全性、性能和合规性,迁移到TLS
SSL协议详解
wzw_wwl的博客
03-12 1740
SSL和TLS:SSL (Secure Sockets Layer)安全套接层。是由Netscape公司于1990年开发,用于保障Word Wide Web(WWW)通讯的安全。主要任务是提供私密性,信息完整性和身份认证。1994年改版为SSLv2,1995年改版为SSLv3。TLS(Transport Layer Security)安全传输层协议)用于在两个通信应用程序之间提供保密性和数据完整性。
SSL与TLS协议详解
xllikestudy的博客
07-08 5275
写在最前面的话:这篇文章是我借鉴了Eric Rescorla的《SSL and TLS》一书之后对该书的前半部分内容整合而做。如您需要开发围绕SSL、TLS的程序建议参阅原著或者RFC相关文档。 一、关于SSL、TLS与HTTPS的三两事 什么是SSL、TLS: 众所周知,真正的通信实际上是两台主机之间的进程在交换数据,而运输层作为整个网络最关键的从层次之一,扮演沿着向上层(应用层)提供通信服务的角色。想要剖析运输层的数据安全传输策略就一定无法绕开三个至关重要的协议,它们分别是HTTPS协议、SSL协议、T
sslv3 alert handshake failure 解决方案
m0_58748460的博客
04-07 2423
在工作中遇到一些很老旧的企业网站,比如某联,后台甚至是15年建立的,必须用ie+安装ssl证书访问的那种,win系统下还装一下ssl的exe文件,但笔者用macos系统简直是无从下手,用requests库求一直是标题所示的错误,查了各种方法,通过各种组合测试,找到一个解决方案,升级python到3.11,降级urllib3到1.26.5版本。然后在requests求中加入verify=False, 搞定,try it out!pip3如果运行不了,换pip也行。
Python-snallygaster工具:扫描HTTP服务器的隐藏安全风险
这些文件由于配置错误或其他原因而意外地对公众开放,可能会泄露敏感信息,对网站的安全性构成威胁。Snallygaster工具通过自动化扫描过程,帮助安全专家和系统管理员识别这类风险。 ### 知识点一:Python-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值