SSLv3:n poistaminen käytöstä

POODLE (Padding Oracle On Downgraded Legacy Encryption) on 14. lokakuuta 2014 löydetty haavoittuvuus, jonka avulla hyökkääjä voi lukea mitä tahansa salattua tietoa SSLv3-protokollan avulla suorittamalla man-in-the-middle -hyökkäyksen. Vaikka monet ohjelmat käyttävät SSLv3:a varavaihtoehtona, se on tullut siihen pisteeseen, että se pitäisi poistaa käytöstä - koska monet asiakkaat voidaan pakottaa käyttämään SSLv3:a. Asiakkaan pakottaminen käyttämään SSLv3:a lisää hyökkäyksen mahdollisuutta. Tämä artikkeli näyttää, kuinka SSLv3 poistetaan käytöstä tietyissä nykyään yleisesti käytetyissä ohjelmistosovelluksissa.

SSLv3:n poistaminen käytöstä Nginxissä

Siirry määritystiedostoon, johon palvelintietosi on tallennettu. Esimerkiksi /etc/nginx/sites-enabled/ssl.example.com.conf(korvaa polun määritystesi mukaisesti). Etsi tiedostosta ssl_protocols. Varmista, että tämä rivi on olemassa ja että se vastaa seuraavaa:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Tämä pakottaa TLS:n käytön ja poistaa siten SSLv3:n (ja kaikki vanhemmat tai vanhentuneet protokollat) käytöstä. Käynnistä nyt Nginx-palvelin uudelleen suorittamalla jokin seuraavista komennoista.

CentOS 7 :

systemctl restart nginx 

Ubuntu/Debian :

service nginx restart

SSLv3:n poistaminen käytöstä Apachessa

Voit poistaa SSLv3:n käytöstä siirtymällä Apachen moduulin määrityshakemistoon. Ubuntussa/Debianissa se saattaa olla /etc/apache2/mod-available. Sen sijaan CentOS:ssä se voi sijaita /etc/httpd/conf.d. Etsi ssl.conftiedosto. Avaa ssl.confja etsi SSLProtocolohje. Varmista, että tämä rivi on olemassa ja että se vastaa seuraavaa:

SSLProtocol all -SSLv3 -SSLv2

Kun olet valmis, tallenna ja käynnistä palvelin uudelleen suorittamalla jokin seuraavista komennoista.

Ubuntu/Debian-ajolle:

CentOS 7 :

systemctl restart httpd

Ubuntu/Debian :

service apache2 restart

SSLv3:n poistaminen käytöstä Postfixissa

Siirry postfixhakemistoosi. Se on tyypillisesti /etc/postfix/. Avaa main.cftiedosto ja etsi smtpd_tls_mandatory_protocols. Varmista, että tämä rivi on olemassa ja että se vastaa seuraavaa:

smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, TLSv1, TLSv1.1, TLSv1.2

Tämä pakottaa TLSv1.1:n ja TLSv1.2:n ottamaan käyttöön ja käyttämään niitä Postfix-palvelimessasi. Kun olet valmis, tallenna ja käynnistä uudelleen.

CentOS 7 :

 systemctl restart postfix

Ubuntu/Debian :

service postfix restart

SSLv3:n poistaminen käytöstä Dovecotissa

Avaa tiedosto, joka sijaitsee osoitteessa /etc/dovecot/conf.d/10-ssl.conf. Etsi sitten rivi, joka sisältää ssl_protocolsja varmista, että se vastaa seuraavaa:

ssl_protocols = !SSLv2 !SSLv3 TLSv1.1 TLSv1.2

Kun olet valmis, tallenna ja käynnistä Dovecot uudelleen.

CentOS 7 :

systemctl restart dovecot

Ubuntu/Debian :

service dovecot restart

Testataan, että SSLv3 on poistettu käytöstä

Varmista, että SSLv3 on poistettu käytöstä verkkopalvelimellasi, suorittamalla seuraava komento (korvaa verkkotunnus ja IP vastaavasti):

openssl s_client -servername example.com -connect 0.0.0.0:443 -ssl3

Näet seuraavan kaltaisen tulosteen:

CONNECTED(00000003)
140060449216160:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1260:SSL alert number 40
140060449216160:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:596:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 0 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : SSLv3
    Cipher    : 0000
    Session-ID: 
    Session-ID-ctx: 
    Master-Key: 
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1414181774
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)

Jos haluat varmistaa, että palvelimesi käyttää TLS:ää, suorita sama komento, mutta ilman -ssl3:

 openssl s_client -servername example.com -connect 0.0.0.0:443

Sinun pitäisi nähdä samankaltaiset tiedot. Paikanna Protocolviiva ja varmista, että se käyttää TLSv1.X(X on 1 tai 2 kokoonpanostasi riippuen). Jos näet tämän, olet onnistuneesti poistanut SSLv3:n käytöstä verkkopalvelimellasi.