Deaktiverer SSLv3

POODLE (Padding Oracle On Downgraded Legacy Encryption) er en sårbarhet som ble funnet 14. oktober 2014, som lar en angriper lese all kryptert informasjon ved å bruke SSLv3-protokollen ved å utføre et mann-i-midten-angrep. Selv om mange programmer bruker SSLv3 som en reserve, har det kommet til et punkt hvor det bør deaktiveres - ettersom mange klienter kan bli tvunget til å bruke SSLv3. Å tvinge en klient til SSLv3 øker sjansen for at et angrep finner sted. Denne artikkelen vil vise deg hvordan du deaktiverer SSLv3 i utvalgte programmer som ofte brukes i dag.

Deaktiverer SSLv3 på Nginx

Gå til konfigurasjonsfilen der serverinformasjonen din er lagret. For eksempel /etc/nginx/sites-enabled/ssl.example.com.conf(erstatter banen i henhold til konfigurasjonen din). Se etter i filen ssl_protocols. Sørg for at denne linjen eksisterer og samsvarer med følgende:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Dette vil håndheve bruken av TLS, og dermed deaktivere SSLv3 (og eventuelle eldre eller foreldede protokoller). Start nå Nginx-serveren på nytt ved å kjøre en av følgende kommandoer.

CentOS 7 :

systemctl restart nginx 

Ubuntu/Debian :

service nginx restart

Deaktiverer SSLv3 på Apache

For å deaktivere SSLv3, gå til modulkonfigurasjonskatalogen for Apache. På Ubuntu/Debian kan det være /etc/apache2/mod-available. Mens på CentOS kan det være plassert i /etc/httpd/conf.d. Se etter ssl.conffilen. Åpne ssl.confog finn SSLProtocoldirektivet. Sørg for at denne linjen eksisterer og samsvarer med følgende:

SSLProtocol all -SSLv3 -SSLv2

Når du er ferdig, lagrer du og starter serveren på nytt ved å kjøre en av følgende kommandoer.

For Ubuntu/Debian-kjøring:

CentOS 7 :

systemctl restart httpd

Ubuntu/Debian :

service apache2 restart

Deaktiverer SSLv3 på Postfix

Gå til postfixkatalogen din . Det er typisk /etc/postfix/. Åpne main.cffilen og se etter smtpd_tls_mandatory_protocols. Sørg for at denne linjen eksisterer og samsvarer med følgende:

smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, TLSv1, TLSv1.1, TLSv1.2

Dette vil tvinge TLSv1.1 og TLSv1.2 til å bli aktivert og brukt på Postfix-serveren. Når du er ferdig, lagre og start på nytt.

CentOS 7 :

 systemctl restart postfix

Ubuntu/Debian :

service postfix restart

Deaktiverer SSLv3 på Dovecot

Åpne filen som ligger på /etc/dovecot/conf.d/10-ssl.conf. Finn deretter linjen som inneholder ssl_protocolsog sørg for at den samsvarer med følgende:

ssl_protocols = !SSLv2 !SSLv3 TLSv1.1 TLSv1.2

Når du er ferdig, lagre og start Dovecot på nytt.

CentOS 7 :

systemctl restart dovecot

Ubuntu/Debian :

service dovecot restart

Tester at SSLv3 er deaktivert

For å bekrefte at SSLv3 er deaktivert på webserveren din, kjør følgende kommando (erstatt domene og IP tilsvarende):

openssl s_client -servername example.com -connect 0.0.0.0:443 -ssl3

Du vil se utdata som ligner på følgende:

CONNECTED(00000003)
140060449216160:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1260:SSL alert number 40
140060449216160:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:596:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 0 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : SSLv3
    Cipher    : 0000
    Session-ID: 
    Session-ID-ctx: 
    Master-Key: 
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1414181774
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)

Hvis du vil bekrefte at serveren din bruker TLS, kjør den samme kommandoen, men uten -ssl3:

 openssl s_client -servername example.com -connect 0.0.0.0:443

Du bør se lignende informasjon vist. Finn Protocollinjen og bekreft at den bruker TLSv1.X(med X er 1 eller 2 avhengig av konfigurasjonen din). Hvis du ser dette, har du deaktivert SSLv3 på webserveren din.