Вимкнення SSLv3

POODLE (Padding Oracle On Downgraded Legacy Encryption) — це вразливість, виявлена ​​14 жовтня 2014 року, яка дозволяє зловмиснику читати будь-яку зашифровану інформацію за допомогою протоколу SSLv3, виконуючи атаку «людина посередині». Хоча багато програм використовують SSLv3 як запасний варіант, він дійшов до того моменту, коли його слід вимкнути, оскільки багато клієнтів можуть бути змушені використовувати SSLv3. Примусове використання клієнта SSLv3 збільшує ймовірність атаки. Ця стаття покаже вам, як відключити SSLv3 у деяких програмних програмах, які зазвичай використовуються сьогодні.

Вимкнення SSLv3 на Nginx

Перейдіть до файлу конфігурації, де зберігається інформація про ваш сервер. Наприклад, /etc/nginx/sites-enabled/ssl.example.com.conf(заміна шляху відповідно до вашої конфігурації). У файлі знайдіть ssl_protocols. Переконайтеся, що цей рядок існує та відповідає наступному:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Це примусить використання TLS, таким чином відключивши SSLv3 (і будь-які старі чи застарілі протоколи). Тепер перезапустіть сервер Nginx, виконавши одну з наступних команд.

CentOS 7 :

systemctl restart nginx 

Ubuntu/Debian :

service nginx restart

Вимкнення SSLv3 на Apache

Щоб вимкнути SSLv3, перейдіть до каталогу конфігурації модуля для Apache. В Ubuntu/Debian це може бути /etc/apache2/mod-available. Тоді як у CentOS він може бути розташований у /etc/httpd/conf.d. Знайдіть ssl.confфайл. Відкрийте ssl.confта знайдіть SSLProtocolдирективу. Переконайтеся, що цей рядок існує та відповідає наступному:

SSLProtocol all -SSLv3 -SSLv2

Після завершення збережіть, а потім перезапустіть сервер, виконавши одну з наступних команд.

Для запуску Ubuntu/Debian:

CentOS 7 :

systemctl restart httpd

Ubuntu/Debian :

service apache2 restart

Вимкнення SSLv3 на Postfix

Перейдіть до свого postfixкаталогу. Зазвичай це /etc/postfix/. Відкрийте main.cfфайл і знайдіть smtpd_tls_mandatory_protocols. Переконайтеся, що цей рядок існує та відповідає наступному:

smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, TLSv1, TLSv1.1, TLSv1.2

Це змусить TLSv1.1 і TLSv1.2 увімкнути та використовувати на вашому сервері Postfix. Після завершення збережіть і перезапустіть.

CentOS 7 :

 systemctl restart postfix

Ubuntu/Debian :

service postfix restart

Вимкнення SSLv3 на Dovecot

Відкрийте файл, розташований за адресою /etc/dovecot/conf.d/10-ssl.conf. Потім знайдіть рядок, який містить, ssl_protocolsі переконайтеся, що він відповідає наступному:

ssl_protocols = !SSLv2 !SSLv3 TLSv1.1 TLSv1.2

Після завершення збережіть і перезапустіть Dovecot.

CentOS 7 :

systemctl restart dovecot

Ubuntu/Debian :

service dovecot restart

Перевірка того, що SSLv3 вимкнено

Щоб переконатися, що SSLv3 вимкнено на вашому веб-сервері, виконайте таку команду (замініть домен і IP відповідно):

openssl s_client -servername example.com -connect 0.0.0.0:443 -ssl3

Ви побачите вихід, подібний до такого:

CONNECTED(00000003)
140060449216160:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1260:SSL alert number 40
140060449216160:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:596:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 0 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : SSLv3
    Cipher    : 0000
    Session-ID: 
    Session-ID-ctx: 
    Master-Key: 
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1414181774
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)

Якщо ви хочете підтвердити, що ваш сервер використовує TLS, виконайте ту ж команду, але без -ssl3:

 openssl s_client -servername example.com -connect 0.0.0.0:443

Ви повинні побачити схожу інформацію. Знайдіть Protocolрядок і підтвердьте, що він використовується TLSv1.X(з X — 1 або 2 залежно від вашої конфігурації). Якщо ви бачите це, то ви успішно вимкнули SSLv3 на своєму веб-сервері.