Zakázání SSLv3

POODLE (Padding Oracle On Downgraded Legacy Encryption) je chyba zabezpečení, která byla nalezena 14. října 2014 a která umožňuje útočníkovi číst jakékoli zašifrované informace pomocí protokolu SSLv3 provedením útoku typu man-in-the-middle. Ačkoli mnoho programů používá SSLv3 jako záložní řešení, dospělo to do bodu, kdy by mělo být zakázáno - protože mnoho klientů může být nuceno používat SSLv3. Vynucení klienta k SSLv3 zvyšuje šanci, že dojde k útoku. Tento článek vám ukáže, jak zakázat SSLv3 ve vybraných softwarových aplikacích, které se dnes běžně používají.

Zakázání SSLv3 na Nginx

Přejděte do konfiguračního souboru, kde jsou uloženy informace o vašem serveru. Například /etc/nginx/sites-enabled/ssl.example.com.conf(nahrazení cesty podle vaší konfigurace). V souboru vyhledejte ssl_protocols. Ujistěte se, že tento řádek existuje a odpovídá následujícímu:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Tím se vynutí použití TLS, čímž se zakáže SSLv3 (a jakékoli starší nebo zastaralé protokoly). Nyní restartujte server Nginx spuštěním jednoho z následujících příkazů.

CentOS 7 :

systemctl restart nginx 

Ubuntu/Debian :

service nginx restart

Zakázání SSLv3 na Apache

Chcete-li zakázat SSLv3, přejděte do adresáře konfigurace modulu pro Apache. Na Ubuntu/Debianu to může být /etc/apache2/mod-available. Zatímco na CentOS může být umístěn v /etc/httpd/conf.d. Hledejte ssl.confsoubor. Otevřete ssl.confa najděte SSLProtocolsměrnici. Ujistěte se, že tento řádek existuje a odpovídá následujícímu:

SSLProtocol all -SSLv3 -SSLv2

Po dokončení uložte a restartujte server spuštěním jednoho z následujících příkazů.

Pro spuštění Ubuntu/Debianu:

CentOS 7 :

systemctl restart httpd

Ubuntu/Debian :

service apache2 restart

Zakázání SSLv3 na Postfixu

Přejděte do svého postfixadresáře. To je typicky /etc/postfix/. Otevřete main.cfsoubor a vyhledejte smtpd_tls_mandatory_protocols. Ujistěte se, že tento řádek existuje a odpovídá následujícímu:

smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, TLSv1, TLSv1.1, TLSv1.2

To vynutí povolení a použití TLSv1.1 a TLSv1.2 na vašem Postfixovém serveru. Po dokončení uložte a restartujte.

CentOS 7 :

 systemctl restart postfix

Ubuntu/Debian :

service postfix restart

Deaktivace SSLv3 na Dovecot

Otevřete soubor umístěný na /etc/dovecot/conf.d/10-ssl.conf. Poté najděte řádek, který obsahuje, ssl_protocolsa ujistěte se, že odpovídá následujícímu:

ssl_protocols = !SSLv2 !SSLv3 TLSv1.1 TLSv1.2

Po dokončení uložte a restartujte Dovecot.

CentOS 7 :

systemctl restart dovecot

Ubuntu/Debian :

service dovecot restart

Testování, že SSLv3 je zakázáno

Chcete-li ověřit, že je na vašem webovém serveru zakázán SSLv3, spusťte následující příkaz (odpovídajícím způsobem nahraďte doménu a IP):

openssl s_client -servername example.com -connect 0.0.0.0:443 -ssl3

Uvidíte výstup podobný následujícímu:

CONNECTED(00000003)
140060449216160:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1260:SSL alert number 40
140060449216160:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:596:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 0 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : SSLv3
    Cipher    : 0000
    Session-ID: 
    Session-ID-ctx: 
    Master-Key: 
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1414181774
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)

Pokud chcete potvrdit, že váš server používá TLS, spusťte stejný příkaz, ale bez -ssl3:

 openssl s_client -servername example.com -connect 0.0.0.0:443

Měli byste vidět podobné informace. Vyhledejte Protocolřádek a potvrďte, že se používá TLSv1.X(přičemž X je 1 nebo 2 v závislosti na vaší konfiguraci). Pokud toto vidíte, pak jste úspěšně zakázali SSLv3 na vašem webovém serveru.