Hjem » » Deaktivering af SSLv3

Deaktivering af SSLv3

  • Deaktivering af SSLv3 på Nginx
  • Deaktivering af SSLv3 på Apache
  • Deaktivering af SSLv3 på Postfix
  • Deaktivering af SSLv3 på Dovecot
  • Tester at SSLv3 er deaktiveret

    • POODLE (Padding Oracle On Downgraded Legacy Encryption) er en sårbarhed, der blev fundet den 14. oktober 2014, som gør det muligt for en angriber at læse enhver krypteret information ved hjælp af SSLv3-protokollen ved at udføre et man-in-the-middle-angreb. Selvom mange programmer bruger SSLv3 som en reserve, er det kommet til det punkt, hvor det bør deaktiveres - da mange klienter kan blive tvunget til at bruge SSLv3. At tvinge en klient til SSLv3 øger chancen for, at et angreb finder sted. Denne artikel viser dig, hvordan du deaktiverer SSLv3 i udvalgte softwareapplikationer, der almindeligvis bruges i dag.

    Deaktivering af SSLv3 på Nginx

    Gå til konfigurationsfilen, hvor dine serveroplysninger er gemt. For eksempel /etc/nginx/sites-enabled/ssl.example.com.conf(udskiftning af stien i overensstemmelse med din konfiguration). I filen skal du se efter ssl_protocols. Sørg for, at denne linje eksisterer og matcher følgende:

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

    Dette vil gennemtvinge brugen af ​​TLS og dermed deaktivere SSLv3 (og eventuelle ældre eller forældede protokoller). Genstart nu din Nginx-server ved at køre en af ​​følgende kommandoer.

    CentOS 7 :

    systemctl restart nginx

    Ubuntu/Debian :

    service nginx restart

    Deaktivering af SSLv3 på Apache

    For at deaktivere SSLv3 skal du gå til din modulkonfigurationsmappe for Apache. På Ubuntu/Debian kan det være /etc/apache2/mod-available. Mens det på CentOS kan være placeret i /etc/httpd/conf.d. Se efter ssl.conffilen. Åbn ssl.confog find SSLProtocoldirektivet. Sørg for, at denne linje eksisterer og matcher følgende:

    SSLProtocol all -SSLv3 -SSLv2

    Når du er færdig, skal du gemme og derefter genstarte din server ved at køre en af ​​følgende kommandoer.

    For Ubuntu/Debian-kørsel:

    CentOS 7 :

    systemctl restart httpd

    Ubuntu/Debian :

    service apache2 restart

    Deaktivering af SSLv3 på Postfix

    Gå til dit postfixbibliotek. Det er typisk /etc/postfix/. Åbn main.cffilen og se efter smtpd_tls_mandatory_protocols. Sørg for, at denne linje eksisterer og matcher følgende:

    smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, TLSv1, TLSv1.1, TLSv1.2

    Dette vil tvinge TLSv1.1 og TLSv1.2 til at blive aktiveret og brugt på din Postfix-server. Når du er færdig, skal du gemme og genstarte.

    CentOS 7 :

     systemctl restart postfix

    Ubuntu/Debian :

    service postfix restart

    Deaktivering af SSLv3 på Dovecot

    Åbn filen på /etc/dovecot/conf.d/10-ssl.conf. Find derefter den linje, der indeholder, ssl_protocolsog sørg for, at den matcher følgende:

    ssl_protocols = !SSLv2 !SSLv3 TLSv1.1 TLSv1.2

    Når du er færdig, skal du gemme og genstarte Dovecot.

    CentOS 7 :

    systemctl restart dovecot

    Ubuntu/Debian :

    service dovecot restart

    Tester at SSLv3 er deaktiveret

    For at bekræfte, at SSLv3 er deaktiveret på din webserver, skal du køre følgende kommando (erstat domæne og IP i overensstemmelse hermed):

    openssl s_client -servername example.com -connect 0.0.0.0:443 -ssl3

    Du vil se output svarende til følgende:

    CONNECTED(00000003)
140060449216160:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1260:SSL alert number 40
140060449216160:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:596:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 0 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : SSLv3
    Cipher    : 0000
    Session-ID: 
    Session-ID-ctx: 
    Master-Key: 
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1414181774
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)

    Hvis du vil bekræfte, at din server bruger TLS, skal du køre den samme kommando, men uden -ssl3:

     openssl s_client -servername example.com -connect 0.0.0.0:443

    Du bør se lignende oplysninger vist. Find Protocollinjen og bekræft, at den bruger TLSv1.X(hvor X er 1 eller 2 afhængigt af din konfiguration). Hvis du ser dette, har du deaktiveret SSLv3 på din webserver.

    Efterlad en kommentar

    The Rise of Machines: Real World Applications of AI

    The Rise of Machines: Real World Applications of AI

    Kunstig intelligens er ikke i fremtiden, det er her lige i nuet I denne blog Læs, hvordan kunstig intelligens-applikationer har påvirket forskellige sektorer.

    DDOS-angreb: et kort overblik

    DDOS-angreb: et kort overblik

    Er du også et offer for DDOS-angreb og forvirret over forebyggelsesmetoderne? Læs denne artikel for at løse dine spørgsmål.

    Har du nogensinde spekuleret på, hvordan tjener hackere penge?

    Har du nogensinde spekuleret på, hvordan tjener hackere penge?

    Du har måske hørt, at hackere tjener mange penge, men har du nogensinde spekuleret på, hvordan tjener de den slags penge? lad os diskutere.

    Revolutionære opfindelser fra Google, der vil gøre dit liv lettere.

    Revolutionære opfindelser fra Google, der vil gøre dit liv lettere.

    Vil du se revolutionerende opfindelser fra Google, og hvordan disse opfindelser ændrede livet for ethvert menneske i dag? Læs derefter til bloggen for at se opfindelser fra Google.

    Fredag ​​Essential: Hvad skete der med AI-drevne biler?

    Fredag ​​Essential: Hvad skete der med AI-drevne biler?

    Konceptet med selvkørende biler til at køre på vejene ved hjælp af kunstig intelligens er en drøm, vi har haft i et stykke tid nu. Men på trods af flere løfter er de ingen steder at se. Læs denne blog for at lære mere...

    Teknologisk singularitet: En fjern fremtid for menneskelig civilisation?

    Teknologisk singularitet: En fjern fremtid for menneskelig civilisation?

    Efterhånden som videnskaben udvikler sig i et hurtigt tempo og overtager en stor del af vores indsats, stiger risikoen for at udsætte os selv for en uforklarlig Singularitet. Læs, hvad singularitet kunne betyde for os.

    Funktioner af Big Data Reference Architecture Layers

    Funktioner af Big Data Reference Architecture Layers

    Læs bloggen for at kende forskellige lag i Big Data-arkitekturen og deres funktionaliteter på den enkleste måde.

    Udvikling af datalagring – Infografik

    Udvikling af datalagring – Infografik

    Opbevaringsmetoderne for dataene har været under udvikling, kan være siden fødslen af ​​dataene. Denne blog dækker udviklingen af ​​datalagring på basis af en infografik.

    6 fantastiske fordele ved at have smarte hjemmeenheder i vores liv

    6 fantastiske fordele ved at have smarte hjemmeenheder i vores liv

    I denne digitalt drevne verden er smarte hjemmeenheder blevet en afgørende del af livet. Her er et par fantastiske fordele ved smarte hjemmeenheder om, hvordan de gør vores liv værd at leve og enklere.

    macOS Catalina 10.15.4-tillægsopdatering forårsager flere problemer end at løse

    macOS Catalina 10.15.4-tillægsopdatering forårsager flere problemer end at løse

    For nylig udgav Apple macOS Catalina 10.15.4 en supplerende opdatering for at løse problemer, men det ser ud til, at opdateringen forårsager flere problemer, hvilket fører til mursten af ​​mac-maskiner. Læs denne artikel for at lære mere