Home » » Dezactivarea SSLv3

Dezactivarea SSLv3

POODLE (Padding Oracle On Downgraded Legacy Encryption) este o vulnerabilitate care a fost găsită pe 14 octombrie 2014, ceea ce permite unui atacator să citească orice informație criptată folosind protocolul SSLv3, prin efectuarea unui atac la om. Deși multe programe folosesc SSLv3 ca un defalc, a ajuns la punctul în care ar trebui să fie dezactivat - deoarece mulți clienți pot fi obligați să folosească SSLv3. Forțarea unui client în SSLv3 crește șansa unui atac. Acest articol vă va arăta cum dezactivați SSLv3 în anumite aplicații software care sunt utilizate frecvent astăzi.

Dezactivarea SSLv3 pe Nginx

Mergeți la fișierul de configurare unde sunt stocate informațiile serverului. De exemplu, /etc/nginx/sites-enabled/ssl.example.com.conf(înlocuind calea corespunzător configurației dvs.) În fișier, căutați ssl_protocols. Asigurați-vă că această linie există și se potrivește cu următoarele:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Acest lucru va impune utilizarea TLS, dezactivând astfel SSLv3 (și orice protocoale mai vechi sau învechite). Acum reporniți serverul Nginx rulând una dintre următoarele comenzi.

CentOS 7 :

systemctl restart nginx

Ubuntu / Debian :

service nginx restart

Dezactivarea SSLv3 pe Apache

Pentru a dezactiva SSLv3, mergeți la directorul dvs. de configurare a modulului pentru Apache. Pe Ubuntu / Debian poate fi /etc/apache2/mod-available. Întrucât pe CentOS, acesta poate fi localizat în /etc/httpd/conf.d. Căutați ssl.conffișierul. Deschideți ssl.confși găsiți SSLProtocoldirectiva. Asigurați-vă că această linie există și se potrivește cu următoarele:

SSLProtocol all -SSLv3 -SSLv2

După ce ați terminat, salvați, apoi reporniți serverul rulând una dintre următoarele comenzi.

Pentru Ubuntu / Debian rulat:

CentOS 7 :

systemctl restart httpd

Ubuntu / Debian :

service apache2 restart

Dezactivarea SSLv3 pe Postfix

Mergeți la postfixdirectorul dvs. Este de obicei /etc/postfix/. Deschideți main.cffișierul și căutați smtpd_tls_mandatory_protocols. Asigurați-vă că această linie există și se potrivește cu următoarele:

smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, TLSv1, TLSv1.1, TLSv1.2

Acest lucru va obliga TLSv1.1 și TLSv1.2 să fie activate și utilizate pe serverul dvs. Postfix. Odată terminat, salvați și reporniți.

CentOS 7 :

 systemctl restart postfix

Ubuntu / Debian :

service postfix restart

Dezactivarea SSLv3 pe Dovecot

Deschideți fișierul situat la /etc/dovecot/conf.d/10-ssl.conf. Apoi, găsiți linia care conține ssl_protocolsși asigurați-vă că se potrivește cu următoarele:

ssl_protocols = !SSLv2 !SSLv3 TLSv1.1 TLSv1.2

Odată terminat, salvați și reporniți Dovecot.

CentOS 7 :

systemctl restart dovecot

Ubuntu / Debian :

service dovecot restart

Testarea dacă SSLv3 este dezactivat

Pentru a verifica dacă SSLv3 este dezactivat pe serverul dvs. web, executați următoarea comandă (înlocuiți domeniu și IP în consecință):

openssl s_client -servername example.com -connect 0.0.0.0:443 -ssl3

Veți vedea o ieșire similară cu următoarele:

CONNECTED(00000003)
140060449216160:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1260:SSL alert number 40
140060449216160:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:596:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 0 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : SSLv3
    Cipher    : 0000
    Session-ID: 
    Session-ID-ctx: 
    Master-Key: 
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1414181774
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)

Dacă doriți să confirmați că serverul dvs. utilizează TLS, rulați aceeași comandă, dar fără -ssl3:

 openssl s_client -servername example.com -connect 0.0.0.0:443

Ar trebui să vedeți informații similare afișate. Localizați Protocollinia și confirmați că este folosită TLSv1.X(X este 1 sau 2 în funcție de configurația dvs.). Dacă vedeți acest lucru, atunci ați dezactivat cu succes SSLv3 pe serverul dvs. Web.


Tags: #Linux Guides #Networking #Web Servers

Leave a Comment

O perspectivă asupra a 26 de tehnici de analiză a datelor mari: partea 1

O perspectivă asupra a 26 de tehnici de analiză a datelor mari: partea 1

O perspectivă asupra a 26 de tehnici de analiză a datelor mari: partea 1

6 lucruri extrem de nebunești despre Nintendo Switch

6 lucruri extrem de nebunești despre Nintendo Switch

Mulți dintre voi cunoașteți Switch care va fi lansat în martie 2017 și noile sale funcții. Pentru cei care nu știu, am pregătit o listă de funcții care fac din „Switch” un „gadget obligatoriu”.

Promisiuni tehnologice care sunt încă nelivrate

Promisiuni tehnologice care sunt încă nelivrate

Aștepți ca giganții tehnologiei să-și îndeplinească promisiunile? vezi ce a ramas nelivrat.

Funcționalitățile straturilor arhitecturii de referință pentru Big Data

Funcționalitățile straturilor arhitecturii de referință pentru Big Data

Citiți blogul pentru a cunoaște diferitele straturi din Arhitectura Big Data și funcționalitățile acestora în cel mai simplu mod.

Cum poate AI să ducă automatizarea proceselor la următorul nivel?

Cum poate AI să ducă automatizarea proceselor la următorul nivel?

Citiți asta pentru a afla cum devine populară inteligența artificială în rândul companiilor la scară mică și cum crește probabilitățile de a le face să crească și de a le oferi concurenților avantaje.

CAPTCHA: Cât timp poate rămâne o tehnică viabilă pentru distincția uman-AI?

CAPTCHA: Cât timp poate rămâne o tehnică viabilă pentru distincția uman-AI?

CAPTCHA a devenit destul de dificil de rezolvat pentru utilizatori în ultimii ani. Va fi capabil să rămână eficient în detectarea spam-ului și a botului în viitor?

Singularitatea tehnologică: un viitor îndepărtat al civilizației umane?

Singularitatea tehnologică: un viitor îndepărtat al civilizației umane?

Pe măsură ce Știința Evoluează într-un ritm rapid, preluând multe dintre eforturile noastre, crește și riscurile de a ne supune unei Singularități inexplicabile. Citiți, ce ar putea însemna singularitatea pentru noi.

Telemedicină și îngrijire medicală la distanță: viitorul este aici

Telemedicină și îngrijire medicală la distanță: viitorul este aici

Ce este telemedicina, îngrijirea medicală la distanță și impactul acesteia asupra generației viitoare? Este un loc bun sau nu în situația de pandemie? Citiți blogul pentru a găsi o vedere!

Te-ai întrebat vreodată cum câștigă hackerii bani?

Te-ai întrebat vreodată cum câștigă hackerii bani?

Poate ați auzit că hackerii câștigă mulți bani, dar v-ați întrebat vreodată cum câștigă acești bani? sa discutam.

Actualizarea suplimentului macOS Catalina 10.15.4 cauzează mai multe probleme decât rezolvă

Actualizarea suplimentului macOS Catalina 10.15.4 cauzează mai multe probleme decât rezolvă

Recent, Apple a lansat macOS Catalina 10.15.4 o actualizare suplimentară pentru a remedia problemele, dar se pare că actualizarea provoacă mai multe probleme care duc la blocarea mașinilor Mac. Citiți acest articol pentru a afla mai multe