Home » » Wyłączanie SSLv3

Wyłączanie SSLv3

POODLE (Padding Oracle On Downgraded Legacy Encryption) to luka znaleziona 14 października 2014 r., Która pozwala osobie atakującej na odczytanie zaszyfrowanych informacji przy użyciu protokołu SSLv3 poprzez wykonanie ataku man-in-the-middle. Chociaż wiele programów używa protokołu SSLv3 jako rezerwowego, doszło do tego, że należy go wyłączyć - ponieważ wielu klientów można zmusić do korzystania z SSLv3. Zmuszenie klienta do SSLv3 zwiększa szansę na atak. W tym artykule pokazano, jak wyłączyć protokół SSLv3 w wybranych aplikacjach, które są dziś powszechnie używane.

Wyłączanie SSLv3 na Nginx

Przejdź do pliku konfiguracyjnego, w którym przechowywane są informacje o serwerze. Na przykład /etc/nginx/sites-enabled/ssl.example.com.conf(zastępując ścieżkę zgodnie z konfiguracją). W pliku wyszukaj ssl_protocols. Upewnij się, że ten wiersz istnieje i jest zgodny z następującymi:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Wymusi to użycie TLS, tym samym wyłączając SSLv3 (i wszelkie starsze lub przestarzałe protokoły). Teraz zrestartuj serwer Nginx, uruchamiając jedno z następujących poleceń.

CentOS 7 :

systemctl restart nginx

Ubuntu / Debian :

service nginx restart

Wyłączanie SSLv3 na Apache

Aby wyłączyć SSLv3, przejdź do katalogu konfiguracji modułu dla Apache. Na Ubuntu / Debian może tak być /etc/apache2/mod-available. Natomiast w CentOS może być zlokalizowany w /etc/httpd/conf.d. Poszukaj ssl.confpliku. Otwórz ssl.confi znajdź SSLProtocoldyrektywę. Upewnij się, że ten wiersz istnieje i jest zgodny z następującymi:

SSLProtocol all -SSLv3 -SSLv2

Po zakończeniu zapisz, a następnie uruchom ponownie serwer, uruchamiając jedno z następujących poleceń.

W przypadku systemu Ubuntu / Debian:

CentOS 7 :

systemctl restart httpd

Ubuntu / Debian :

service apache2 restart

Wyłączanie SSLv3 w Postfix

Przejdź do swojego postfixkatalogu. Zazwyczaj tak jest /etc/postfix/. Otwórz main.cfplik i poszukaj smtpd_tls_mandatory_protocols. Upewnij się, że ten wiersz istnieje i jest zgodny z następującymi:

smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, TLSv1, TLSv1.1, TLSv1.2

Wymusi to włączenie TLSv1.1 i TLSv1.2 i użycie ich na serwerze Postfix. Po zakończeniu zapisz i uruchom ponownie.

CentOS 7 :

 systemctl restart postfix

Ubuntu / Debian :

service postfix restart

Wyłączanie SSLv3 w Dovecot

Otwórz plik znajdujący się pod adresem /etc/dovecot/conf.d/10-ssl.conf. Następnie znajdź wiersz, który zawiera ssl_protocolsi upewnij się, że pasuje do następującego:

ssl_protocols = !SSLv2 !SSLv3 TLSv1.1 TLSv1.2

Po zakończeniu zapisz i uruchom ponownie Dovecot.

CentOS 7 :

systemctl restart dovecot

Ubuntu / Debian :

service dovecot restart

Testowanie, czy protokół SSLv3 jest wyłączony

Aby sprawdzić, czy protokół SSLv3 jest wyłączony na serwerze WWW, uruchom następujące polecenie (odpowiednio zamień domenę i adres IP):

openssl s_client -servername example.com -connect 0.0.0.0:443 -ssl3

Zobaczysz dane wyjściowe podobne do następujących:

CONNECTED(00000003)
140060449216160:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1260:SSL alert number 40
140060449216160:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:596:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 0 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : SSLv3
    Cipher    : 0000
    Session-ID: 
    Session-ID-ctx: 
    Master-Key: 
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1414181774
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)

Jeśli chcesz potwierdzić, że twój serwer używa TLS, uruchom to samo polecenie, ale bez -ssl3:

 openssl s_client -servername example.com -connect 0.0.0.0:443

Powinieneś zobaczyć podobne informacje wyświetlane. Znajdź Protocollinię i potwierdź, że używa TLSv1.X(X oznacza 1 lub 2 w zależności od konfiguracji). Jeśli to zobaczysz, oznacza to, że pomyślnie wyłączyłeś SSLv3 na swoim serwerze internetowym.


Tags: #Linux Guides #Networking #Web Servers

Leave a Comment

Funkcjonalności warstw architektury referencyjnej Big Data

Funkcjonalności warstw architektury referencyjnej Big Data

Przeczytaj blog, aby w najprostszy sposób poznać różne warstwy w architekturze Big Data i ich funkcjonalności.

Rewolucyjne wynalazki Google, które ułatwią Twoje życie.

Rewolucyjne wynalazki Google, które ułatwią Twoje życie.

Chcesz zobaczyć rewolucyjne wynalazki Google i jak te wynalazki zmieniły życie każdego człowieka dzisiaj? Następnie czytaj na blogu, aby zobaczyć wynalazki Google.

13 komercyjnych narzędzi do ekstrakcji danych z Big Data

13 komercyjnych narzędzi do ekstrakcji danych z Big Data

13 komercyjnych narzędzi do ekstrakcji danych z Big Data

Pozostań w kontakcie dzięki aplikacji WhatsApp na komputer 24*7

Pozostań w kontakcie dzięki aplikacji WhatsApp na komputer 24*7

Whatsapp w końcu uruchomił aplikację Desktop dla użytkowników komputerów Mac i Windows. Teraz możesz łatwo uzyskać dostęp do Whatsapp z systemu Windows lub Mac. Dostępne dla Windows 8+ i Mac OS 10.9+

5 przykładów, które dowodzą, że energetyka jądrowa nie zawsze jest zła

5 przykładów, które dowodzą, że energetyka jądrowa nie zawsze jest zła

Energia jądrowa jest zawsze pogardzana, nigdy jej nie szanujemy z powodu przeszłych wydarzeń, ale nie zawsze jest zła. Przeczytaj post, aby dowiedzieć się więcej na ten temat.

Friday Essential: Co się stało z samochodami sterowanymi przez sztuczną inteligencję?

Friday Essential: Co się stało z samochodami sterowanymi przez sztuczną inteligencję?

Koncepcja autonomicznych samochodów, które wyjadą na drogi za pomocą sztucznej inteligencji, to marzenie, które mamy już od jakiegoś czasu. Ale pomimo kilku obietnic nigdzie ich nie widać. Przeczytaj ten blog, aby dowiedzieć się więcej…

Czy AI może walczyć z rosnącą liczbą ataków ransomware?

Czy AI może walczyć z rosnącą liczbą ataków ransomware?

Wzrasta liczba ataków ransomware, ale czy sztuczna inteligencja może pomóc w radzeniu sobie z najnowszym wirusem komputerowym? Czy AI jest odpowiedzią? Przeczytaj tutaj, wiedz, że sztuczna inteligencja jest zmorą lub zgubą

5 przydatnych narzędzi sztucznej inteligencji, które uproszczą Twoje życie

5 przydatnych narzędzi sztucznej inteligencji, które uproszczą Twoje życie

Sztuczna inteligencja nie jest dla ludzi nową nazwą. Ponieważ sztuczna inteligencja jest włączona do każdego strumienia, jednym z nich jest opracowywanie narzędzi zwiększających ludzką wydajność i dokładność. Skorzystaj z tych niesamowitych narzędzi uczenia maszynowego i uprość swoje codzienne zadania.

Wgląd w 26 technik analizy Big Data: część 2

Wgląd w 26 technik analizy Big Data: część 2

Zawsze potrzebujemy Big Data Analytics do efektywnego zarządzania danymi. W tym artykule omówiliśmy kilka technik analizy Big Data. Sprawdź ten artykuł.

Ataki DDOS: krótki przegląd

Ataki DDOS: krótki przegląd

Czy jesteś również ofiarą ataków DDOS i nie masz pewności co do metod zapobiegania? Przeczytaj ten artykuł, aby rozwiązać swoje pytania.