Onemogočanje SSLv3

POODLE (Padding Oracle On Downgraded Legacy Encryption) je ranljivost, ki je bila ugotovljena 14. oktobra 2014, ki napadalcem omogoča branje vseh šifriranih informacij s protokolom SSLv3 z napadom človek v sredini. Čeprav mnogi programi uporabljajo SSLv3 kot nadomestno, je prišlo do točke, ko bi ga morali onemogočiti – saj je veliko odjemalcev lahko prisiljeno v uporabo SSLv3. Prisilitev odjemalca v SSLv3 poveča možnost napada. Ta članek vam bo pokazal, kako onemogočiti SSLv3 v izbranih programskih aplikacijah, ki se danes pogosto uporabljajo.

Onemogočanje SSLv3 na Nginxu

Pojdite do konfiguracijske datoteke, kjer so shranjeni podatki o vašem strežniku. Na primer /etc/nginx/sites-enabled/ssl.example.com.conf(zamenjava poti v skladu z vašo konfiguracijo). V datoteki poiščite ssl_protocols. Prepričajte se, da ta vrstica obstaja in se ujema z naslednjim:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

To bo uveljavilo uporabo TLS in tako onemogočilo SSLv3 (in vse starejše ali zastarele protokole). Zdaj znova zaženite strežnik Nginx, tako da zaženete enega od naslednjih ukazov.

CentOS 7 :

systemctl restart nginx 

Ubuntu/Debian :

service nginx restart

Onemogočanje SSLv3 na Apache

Če želite onemogočiti SSLv3, pojdite v imenik konfiguracije modula za Apache. V Ubuntu/Debianu je lahko /etc/apache2/mod-available. Medtem ko se v CentOS-u lahko nahaja v /etc/httpd/conf.d. Poiščite ssl.confdatoteko. Odprite ssl.confin poiščite SSLProtocoldirektivo. Prepričajte se, da ta vrstica obstaja in se ujema z naslednjim:

SSLProtocol all -SSLv3 -SSLv2

Ko končate, shranite in znova zaženite strežnik z izvajanjem enega od naslednjih ukazov.

Za zagon Ubuntu/Debian:

CentOS 7 :

systemctl restart httpd

Ubuntu/Debian :

service apache2 restart

Onemogočanje SSLv3 na Postfixu

Pojdite v svoj postfiximenik. Običajno je /etc/postfix/. Odprite main.cfdatoteko in poiščite smtpd_tls_mandatory_protocols. Prepričajte se, da ta vrstica obstaja in se ujema z naslednjim:

smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, TLSv1, TLSv1.1, TLSv1.2

To bo prisililo, da bosta TLSv1.1 in TLSv1.2 omogočena in uporabljena na vašem strežniku Postfix. Ko končate, shranite in znova zaženite.

CentOS 7 :

 systemctl restart postfix

Ubuntu/Debian :

service postfix restart

Onemogočanje SSLv3 na Dovecotu

Odprite datoteko, ki se nahaja na /etc/dovecot/conf.d/10-ssl.conf. Nato poiščite vrstico, ki vsebuje, ssl_protocolsin se prepričajte, da se ujema z naslednjim:

ssl_protocols = !SSLv2 !SSLv3 TLSv1.1 TLSv1.2

Ko končate, shranite in znova zaženite Dovecot.

CentOS 7 :

systemctl restart dovecot

Ubuntu/Debian :

service dovecot restart

Preizkušanje, ali je SSLv3 onemogočen

Če želite preveriti, ali je SSLv3 onemogočen na vašem spletnem strežniku, zaženite naslednji ukaz (zamenjajte domeno in IP ustrezno):

openssl s_client -servername example.com -connect 0.0.0.0:443 -ssl3

Videli boste izhod, podoben naslednjemu:

CONNECTED(00000003)
140060449216160:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1260:SSL alert number 40
140060449216160:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:596:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 0 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : SSLv3
    Cipher    : 0000
    Session-ID: 
    Session-ID-ctx: 
    Master-Key: 
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1414181774
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)

Če želite potrditi, da vaš strežnik uporablja TLS, zaženite isti ukaz, vendar brez -ssl3:

 openssl s_client -servername example.com -connect 0.0.0.0:443

Prikazane bi morale biti podobne informacije. Poiščite Protocolvrstico in potrdite, da jo uporablja TLSv1.X(pri čemer je X 1 ali 2, odvisno od vaše konfiguracije). Če vidite to, ste uspešno onemogočili SSLv3 na svojem spletnem strežniku.