Inaktiverar SSLv3

POODLE (Padding Oracle On Downgraded Legacy Encryption) är en sårbarhet som hittades den 14 oktober 2014, som gör att en angripare kan läsa all krypterad information med hjälp av SSLv3-protokollet genom att utföra en man-in-the-middle-attack. Även om många program använder SSLv3 som en reserv, har det kommit till den punkt där det borde inaktiveras - eftersom många klienter kan tvingas använda SSLv3. Att tvinga in en klient till SSLv3 ökar chansen att en attack äger rum. Den här artikeln kommer att visa dig hur du inaktiverar SSLv3 i utvalda program som vanligtvis används idag.

Inaktiverar SSLv3 på Nginx

Gå till konfigurationsfilen där din serverinformation lagras. Till exempel /etc/nginx/sites-enabled/ssl.example.com.conf(ersätter sökvägen i enlighet med din konfiguration). Leta efter i filen ssl_protocols. Se till att den här raden finns och matchar följande:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Detta kommer att framtvinga användningen av TLS, och därmed inaktivera SSLv3 (och alla äldre eller föråldrade protokoll). Starta nu om din Nginx-server genom att köra ett av följande kommandon.

CentOS 7 :

systemctl restart nginx 

Ubuntu/Debian :

service nginx restart

Inaktiverar SSLv3 på Apache

För att inaktivera SSLv3, gå till din modulkonfigurationskatalog för Apache. På Ubuntu/Debian kan det vara /etc/apache2/mod-available. Medan på CentOS kan det finnas i /etc/httpd/conf.d. Leta efter ssl.conffilen. Öppna ssl.confoch hitta SSLProtocoldirektivet. Se till att den här raden finns och matchar följande:

SSLProtocol all -SSLv3 -SSLv2

När du är klar, spara och starta om servern genom att köra ett av följande kommandon.

För Ubuntu/Debian körning:

CentOS 7 :

systemctl restart httpd

Ubuntu/Debian :

service apache2 restart

Inaktiverar SSLv3 på Postfix

Gå till din postfixkatalog. Det är typiskt /etc/postfix/. Öppna main.cffilen och leta efter smtpd_tls_mandatory_protocols. Se till att den här raden finns och matchar följande:

smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, TLSv1, TLSv1.1, TLSv1.2

Detta tvingar TLSv1.1 och TLSv1.2 att aktiveras och användas på din Postfix-server. När du är klar, spara och starta om.

CentOS 7 :

 systemctl restart postfix

Ubuntu/Debian :

service postfix restart

Inaktiverar SSLv3 på Dovecot

Öppna filen som finns på /etc/dovecot/conf.d/10-ssl.conf. Hitta sedan raden som innehåller ssl_protocolsoch se till att den matchar följande:

ssl_protocols = !SSLv2 !SSLv3 TLSv1.1 TLSv1.2

När du är klar, spara och starta om Dovecot.

CentOS 7 :

systemctl restart dovecot

Ubuntu/Debian :

service dovecot restart

Testar att SSLv3 är inaktiverat

För att verifiera att SSLv3 är inaktiverat på din webbserver, kör följande kommando (ersätt domän och IP i enlighet med detta):

openssl s_client -servername example.com -connect 0.0.0.0:443 -ssl3

Du kommer att se utdata som liknar följande:

CONNECTED(00000003)
140060449216160:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1260:SSL alert number 40
140060449216160:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:596:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 0 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : SSLv3
    Cipher    : 0000
    Session-ID: 
    Session-ID-ctx: 
    Master-Key: 
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1414181774
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)

Om du vill bekräfta att din server använder TLS, kör samma kommando men utan -ssl3:

 openssl s_client -servername example.com -connect 0.0.0.0:443

Du bör se liknande information visas. Leta reda på Protocollinjen och bekräfta att den används TLSv1.X(med X är 1 eller 2 beroende på din konfiguration). Om du ser detta har du framgångsrikt inaktiverat SSLv3 på din webbserver.