Home » » Melumpuhkan SSLv3

Melumpuhkan SSLv3

POODLE (Padding Oracle On Downgraded Legacy Encryption) adalah kerentanan yang dijumpai pada 14 Oktober 2014, yang memungkinkan penyerang membaca setiap maklumat yang dienkripsi menggunakan protokol SSLv3 dengan melakukan serangan man-in-the-middle. Walaupun banyak program menggunakan SSLv3 sebagai pengganti, ia telah sampai ke tahap di mana ia harus dilumpuhkan - kerana banyak klien terpaksa menggunakan SSLv3. Memaksa klien memasuki SSLv3 meningkatkan kemungkinan serangan berlaku. Artikel ini akan menunjukkan kepada anda cara menonaktifkan SSLv3 dalam aplikasi perisian terpilih yang biasa digunakan hari ini.

Melumpuhkan SSLv3 pada Nginx

Pergi ke fail konfigurasi tempat maklumat pelayan anda disimpan. Contohnya, /etc/nginx/sites-enabled/ssl.example.com.conf(mengganti jalan mengikut konfigurasi anda). Di dalam fail, cari ssl_protocols. Pastikan garis ini ada, dan sepadan dengan yang berikut:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Ini akan menegakkan penggunaan TLS, dengan itu melumpuhkan SSLv3 (dan protokol yang lebih lama atau usang). Sekarang mulakan semula pelayan Nginx anda dengan menjalankan salah satu arahan berikut.

CentOS 7 :

systemctl restart nginx

Ubuntu / Debian :

service nginx restart

Melumpuhkan SSLv3 di Apache

Untuk melumpuhkan SSLv3, pergi ke direktori konfigurasi modul anda untuk Apache. Di Ubuntu / Debian mungkin /etc/apache2/mod-available. Manakala di CentOS, ia mungkin terletak di /etc/httpd/conf.d. Cari ssl.conffailnya. Buka ssl.confdan cari SSLProtocolarahannya. Pastikan garis ini ada, dan sepadan dengan yang berikut:

SSLProtocol all -SSLv3 -SSLv2

Setelah selesai, simpan, kemudian mulakan semula pelayan anda dengan menjalankan salah satu arahan berikut.

Untuk Ubuntu / Debian dijalankan:

CentOS 7 :

systemctl restart httpd

Ubuntu / Debian :

service apache2 restart

Melumpuhkan SSLv3 pada Postfix

Pergi ke postfixdirektori anda . Ia biasanya /etc/postfix/. Buka main.cffail dan cari smtpd_tls_mandatory_protocols. Pastikan garis ini ada, dan sepadan dengan yang berikut:

smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, TLSv1, TLSv1.1, TLSv1.2

Ini akan memaksa TLSv1.1 dan TLSv1.2 diaktifkan dan digunakan pada pelayan Postfix anda. Setelah selesai, simpan dan mulakan semula.

CentOS 7 :

 systemctl restart postfix

Ubuntu / Debian :

service postfix restart

Melumpuhkan SSLv3 di Dovecot

Buka fail yang terletak di /etc/dovecot/conf.d/10-ssl.conf. Kemudian, cari baris yang mengandungi ssl_protocolsdan pastikan ia sesuai dengan yang berikut:

ssl_protocols = !SSLv2 !SSLv3 TLSv1.1 TLSv1.2

Setelah selesai, simpan dan mulakan semula Dovecot.

CentOS 7 :

systemctl restart dovecot

Ubuntu / Debian :

service dovecot restart

Menguji bahawa SSLv3 dilumpuhkan

Untuk mengesahkan bahawa SSLv3 dilumpuhkan pada pelayan web anda, jalankan arahan berikut (ganti domain dan IP sesuai):

openssl s_client -servername example.com -connect 0.0.0.0:443 -ssl3

Anda akan melihat output yang serupa dengan yang berikut:

CONNECTED(00000003)
140060449216160:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1260:SSL alert number 40
140060449216160:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:596:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 0 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : SSLv3
    Cipher    : 0000
    Session-ID: 
    Session-ID-ctx: 
    Master-Key: 
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1414181774
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)

Sekiranya anda ingin mengesahkan bahawa pelayan anda menggunakan TLS, jalankan arahan yang sama tetapi tanpa -ssl3:

 openssl s_client -servername example.com -connect 0.0.0.0:443

Anda mesti melihat maklumat serupa dipaparkan. Cari Protocolgaris dan sahkan bahawa ia menggunakan TLSv1.X(dengan X menjadi 1 atau 2 bergantung pada konfigurasi anda). Sekiranya anda melihat ini, anda telah berjaya mematikan SSLv3 di pelayan web anda.


Tags: #Linux Guides #Networking #Web Servers

Leave a Comment

Pandangan tentang 26 Teknik Analisis Data Besar: Bahagian 1

Pandangan tentang 26 Teknik Analisis Data Besar: Bahagian 1

Pandangan tentang 26 Teknik Analisis Data Besar: Bahagian 1

6 Perkara Yang Sangat Menggila Tentang Nintendo Switch

6 Perkara Yang Sangat Menggila Tentang Nintendo Switch

Ramai daripada anda tahu Switch akan keluar pada Mac 2017 dan ciri baharunya. Bagi yang tidak tahu, kami telah menyediakan senarai ciri yang menjadikan 'Tukar' sebagai 'gajet yang mesti ada'.

Janji Teknologi Yang Masih Tidak Ditepati

Janji Teknologi Yang Masih Tidak Ditepati

Adakah anda menunggu gergasi teknologi memenuhi janji mereka? semak apa yang masih belum dihantar.

Fungsi Lapisan Seni Bina Rujukan Data Besar

Fungsi Lapisan Seni Bina Rujukan Data Besar

Baca blog untuk mengetahui lapisan berbeza dalam Seni Bina Data Besar dan fungsinya dengan cara yang paling mudah.

Bagaimana AI Boleh Mengambil Automasi Proses ke Tahap Seterusnya?

Bagaimana AI Boleh Mengambil Automasi Proses ke Tahap Seterusnya?

Baca ini untuk mengetahui cara Kecerdasan Buatan semakin popular di kalangan syarikat berskala kecil dan cara ia meningkatkan kebarangkalian untuk menjadikan mereka berkembang dan memberikan pesaing mereka kelebihan.

CAPTCHA: Berapa Lama Ia Boleh Kekal Sebagai Teknik Berdaya maju Untuk Perbezaan Manusia-AI?

CAPTCHA: Berapa Lama Ia Boleh Kekal Sebagai Teknik Berdaya maju Untuk Perbezaan Manusia-AI?

CAPTCHA telah menjadi agak sukar untuk diselesaikan oleh pengguna dalam beberapa tahun kebelakangan ini. Adakah ia dapat kekal berkesan dalam pengesanan spam dan bot pada masa hadapan?

Keunikan Teknologi: Masa Depan Tamadun Manusia yang Jauh?

Keunikan Teknologi: Masa Depan Tamadun Manusia yang Jauh?

Apabila Sains Berkembang pada kadar yang pantas, mengambil alih banyak usaha kita, risiko untuk menundukkan diri kita kepada Ketunggalan yang tidak dapat dijelaskan juga meningkat. Baca, apakah makna ketunggalan bagi kita.

Teleperubatan Dan Penjagaan Kesihatan Jauh: Masa Depan Ada Di Sini

Teleperubatan Dan Penjagaan Kesihatan Jauh: Masa Depan Ada Di Sini

Apakah teleperubatan, penjagaan kesihatan jauh dan impaknya kepada generasi akan datang? Adakah ia tempat yang baik atau tidak dalam situasi pandemik? Baca blog untuk mencari paparan!

Pernahkah Anda Terfikir Bagaimana Penggodam Mendapatkan Wang?

Pernahkah Anda Terfikir Bagaimana Penggodam Mendapatkan Wang?

Anda mungkin pernah mendengar bahawa penggodam memperoleh banyak wang, tetapi pernahkah anda terfikir bagaimana mereka memperoleh wang seperti itu? Mari berbincang.

Kemas Kini Tambahan macOS Catalina 10.15.4 Menyebabkan Lebih Banyak Isu Daripada Penyelesaian

Kemas Kini Tambahan macOS Catalina 10.15.4 Menyebabkan Lebih Banyak Isu Daripada Penyelesaian

Baru-baru ini Apple mengeluarkan macOS Catalina 10.15.4 kemas kini tambahan untuk menyelesaikan masalah tetapi nampaknya kemas kini itu menyebabkan lebih banyak masalah yang membawa kepada pemusnahan mesin mac. Baca artikel ini untuk mengetahui lebih lanjut