我最近通过Qualsys SSL Labs SSL Test运行我的网站。我的网站获得了“F”级，并附有以下消息：

此服务器易受 OpenSSL Padding Oracle 漏洞 (CVE-2016-2107) 的攻击且不安全。等级设置为 F。

对此感到困扰，我联系了我的网络主机关于我的担忧，他们给我的回应是：

评分是错误的，因为我们使用的发行版使用的是 Open SSL，但在保留原始编号版本的同时进行了修补。它已经打了补丁，但 Redhat 不会将 OpenSSL 版本更改为最新版本，因为他们构建软件包的方式。

这对我来说听起来很可疑，因为我认为这样的测试检查正在运行的 OpenSSL 版本是没有意义的（你甚至如何从“外部”检查它？），而是测试漏洞通过尝试对其执行攻击而存在。所以我又抱怨了一些，包括让他们知道其他漏洞测试人员将其标记为易受攻击。他们对此的回应是：

它已经打补丁了。由于检查时报告的版本号，他们将其报告为错误。由于该特定原因本身，许多跳棋失败了。

我应该相信我的网络主机的响应，还是应该尽可能快地跑得越远？如果他们说的是实话，是否有漏洞测试人员不会被错误的 OpenSSL 版本号所迷惑？