Zakázanie SSLv3

POODLE (Padding Oracle On Downgraded Legacy Encryption) je zraniteľnosť, ktorá bola nájdená 14. októbra 2014 a ktorá umožňuje útočníkovi čítať akékoľvek zašifrované informácie pomocou protokolu SSLv3 vykonaním útoku typu man-in-the-middle. Hoci mnohé programy používajú SSLv3 ako záložný zdroj, dospelo to do bodu, kedy by sa malo deaktivovať – pretože mnohí klienti môžu byť nútení používať SSLv3. Prinútenie klienta k SSLv3 zvyšuje šancu na útok. Tento článok vám ukáže, ako zakázať SSLv3 vo vybraných softvérových aplikáciách, ktoré sa dnes bežne používajú.

Zakázanie SSLv3 na Nginx

Prejdite do konfiguračného súboru, kde sú uložené informácie o vašom serveri. Napríklad /etc/nginx/sites-enabled/ssl.example.com.conf(nahradením cesty podľa vašej konfigurácie). V súbore vyhľadajte ssl_protocols. Uistite sa, že tento riadok existuje a zodpovedá nasledujúcemu:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Tým sa vynúti používanie TLS, čím sa deaktivuje SSLv3 (a všetky staršie alebo zastarané protokoly). Teraz reštartujte server Nginx spustením jedného z nasledujúcich príkazov.

CentOS 7 :

systemctl restart nginx 

Ubuntu/Debian :

service nginx restart

Zakázanie SSLv3 na Apache

Ak chcete zakázať SSLv3, prejdite do konfiguračného adresára modulu pre Apache. Na Ubuntu/Debiane to môže byť /etc/apache2/mod-available. Zatiaľ čo na CentOS sa môže nachádzať v /etc/httpd/conf.d. Vyhľadajte ssl.confsúbor. Otvorte ssl.confa nájdite SSLProtocolsmernicu. Uistite sa, že tento riadok existuje a zodpovedá nasledujúcemu:

SSLProtocol all -SSLv3 -SSLv2

Po dokončení uložte a reštartujte server spustením jedného z nasledujúcich príkazov.

Pre spustenie Ubuntu/Debianu:

CentOS 7 :

systemctl restart httpd

Ubuntu/Debian :

service apache2 restart

Zakázanie SSLv3 na Postfixe

Prejdite do svojho postfixadresára. Typicky je /etc/postfix/. Otvorte main.cfsúbor a vyhľadajte smtpd_tls_mandatory_protocols. Uistite sa, že tento riadok existuje a zodpovedá nasledujúcemu:

smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, TLSv1, TLSv1.1, TLSv1.2

Toto prinúti TLSv1.1 a TLSv1.2, aby boli povolené a používané na vašom Postfix serveri. Po dokončení uložte a reštartujte.

CentOS 7 :

 systemctl restart postfix

Ubuntu/Debian :

service postfix restart

Zakázanie SSLv3 na Dovecot

Otvorte súbor umiestnený na adrese /etc/dovecot/conf.d/10-ssl.conf. Potom nájdite riadok, ktorý obsahuje, ssl_protocolsa uistite sa, že zodpovedá nasledujúcemu:

ssl_protocols = !SSLv2 !SSLv3 TLSv1.1 TLSv1.2

Po dokončení uložte a reštartujte Dovecot.

CentOS 7 :

systemctl restart dovecot

Ubuntu/Debian :

service dovecot restart

Testuje sa, že protokol SSLv3 je vypnutý

Ak chcete overiť, či je na vašom webovom serveri zakázané SSLv3, spustite nasledujúci príkaz (podľa toho nahraďte doménu a IP):

openssl s_client -servername example.com -connect 0.0.0.0:443 -ssl3

Uvidíte výstup podobný nasledujúcemu:

CONNECTED(00000003)
140060449216160:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1260:SSL alert number 40
140060449216160:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:596:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 0 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : SSLv3
    Cipher    : 0000
    Session-ID: 
    Session-ID-ctx: 
    Master-Key: 
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1414181774
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)

Ak chcete potvrdiť, že váš server používa TLS, spustite rovnaký príkaz, ale bez -ssl3:

 openssl s_client -servername example.com -connect 0.0.0.0:443

Mali by ste vidieť podobné informácie. Nájdite Protocollinku a potvrďte, že sa používa TLSv1.X(pričom X je 1 alebo 2 v závislosti od vašej konfigurácie). Ak toto vidíte, potom ste úspešne zakázali SSLv3 na svojom webovom serveri.