Protocolul SSL și succesorul său TLS - aceste protocoale criptografice concepute pentru a asigura securitatea conexiunilor la rețea la Internet. În plus față de distribuirea HTTPS. concepute pentru conexiuni web, iar acestea sunt folosite de multe alte aplicații. SSLv1 niciodată nu a produs în mod public, SSLv2 sa dovedit rapid a fi nesigure. SSLv3 a fost creat. este încă folosit pentru Transport Layer Security conexiuni la Internet, împreună cu TLSv1 / 1.1 / 1.2.
Nu cu mult timp în urmă, inginerii Google au descoperit un protocol de vulnerabilitate SSLv3, prin care această versiune a SSL este atac Pudel subiect. și utilizarea sa nu este foarte de dorit. Există un plasture, dar nu rezolvă problema în întregime, așa cum ar trebui să fie corectate ambele părți ale conexiunii, clientul și serverul.
Protocolul SSLv3 aproape 18 de ani, dar este încă foarte frecvente în rețea, fără să se uite la ea, cât mai curând posibil, este necesar să se renunțe la utilizarea acestei versiuni a protocolului SSL, atât pe partea de server și client. Deși există o mică parte din utilizatorii de Internet care folosesc sistemul este foarte învechit și nu suportă TLS, în această privință, acestea sunt limitate în capacitatea lor de a se conecta la site-ul sau serviciul.
întrebări cheie și răspunsuri cu privire la protocolul SSLv3
De ce ar trebui să dezactivați serverul SSLv3?
Dacă sunteți proprietarul sau administratorul de server, aveți într-adevăr nevoie să dezactivați SSLv3 cât mai curând posibil, ceva pentru a proteja utilizatorii. După dezactivarea protocolul SSLv3, clienții nu se poate folosi versiunea vulnerabilă a protocolului SSL pentru a conecta și va fi obligat să utilizeze o nouă alternativă, mai sigur.
De ce trebuie să dezactivați SSLv3 în client?
Ca utilizator, ar trebui să dezactivați SSLv3 în browser-ul dvs., în scopul de a se proteja atunci când vizitează site-uri care susțin încă SSLv3. Făcând acest lucru, puteți fi sigur că aplicația web nu va încerca să stabilească o conexiune cu SSLv3 și va folosi o alternativă mai sigură.
Este punerea în aplicare a vulnerabilității Pudel, astfel încât la fel ca și vulnerabilitatea OpenSSL heartbleed?
Nu, Pudel această vulnerabilitate de protocol. Acest lucru înseamnă că este vorba de lucrările interioare ale SSLv3, și nu se poate repara.
Este necesar să revoce certificatele după Pudel?
Nu, nu trebuie să elibereze certificate noi. Atac Pudel - aceasta nu este o scurgere de memorie, acesta este un atac de recuperare de date în text clar, care are ca scop antetele HTTP și utilizează protocolul SSLv3 slăbiciune atunci când se lucrează cu cifruri bloc.
Dezactivarea SSLv3 în servere Web comune
Dezactivați SSLv3 pe serverul de web Apache
Adăugați în fișierul de configurare apache. sau pentru a schimba dacă aveți deja, dar nu se potrivește, următoarea directivă:
SSLProtocol Toate -SSLv2 -SSLv3
apoi perezagpustit apache:
Dezactivați SSLv3 pe un server Web IIS
Disable_ssl3.reg Creați un fișier de registru cu următorul conținut:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ Schannel \ Protocoale \ SSL 3.0 \ Server]
"Activat" = dword: 00000000
[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ Schannel \ protocoalele \ SSL 2.0 \ Server]
"Activat" = dword: 00000000
și rulați-l.
Dezactivați SSLv3 în serverul de web Nginx
Adăugați Directiva nginx.conf la fișierul de configurare:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
în cazul în care astfel există deja diferite, corect, apoi reporniți Nginx
Dezactivați SSLv3 în serverul de web lighttpd
Lansări serverul lighttpd la versiunea 1.4.28 permite doar să dezactivați SSLv2. Dacă utilizați versiunea 1.4.29 sau mai mare, montați-l în configurarea:
ssl.use-SSLv2 = "disable"
ssl.use-SSLv3 = "disable"
apoi reporniți serverul
Dezactivarea protocolului SSLv3 în principalele browsere web
Chrome și Chromium
Dacă utilizați Chrome 40 sau mai mare, sunteți în siguranță, deoarece versiunea 40 Chrome / Chromium dezactivați complet SSLv3.
În Chrome și crom utilizat parametri, permițând utilizatorului să specifice protocolul preferat, dar mulți oameni cred eronat că SSLv3 este o versiune mai recentă decât TLS 1.0, și în mod greșit oprit ultima.
Astfel, în timp ce browserul Google Chrome sau Chromium implicit dezactivat SSLv3 nu a fost declarată, aveți nevoie pentru a rula aceste browsere cu parametrul de linie de comandă --ssl-versiune-min = tls1. Pentru a face acest lucru, aveți posibilitatea să modificați comanda rapidă la cerere, este de a rula browser-ul cu parametrul corect.
- Faceți clic dreapta pe comanda rapidă Google Chrome / Chromium pe desktop, fila Properties.
- În obiectul linie după ultimul simbol de colon, adăugați un spațiu și apoi --ssl-versiune-min = tls1.
- Faceți clic pe OK și confirmați dacă vi se va solicita drepturi de administrator.
Rețineți că această setare va proteja doar sesiunile de browser care rulează shortcut pe desktop pentru a rula sesiuni, făcând clic pe un link într-un document sau o scrisoare, această setare nu are niciun efect. Ce-ar rezolva această problemă, trebuie să modificați valoarea de registry HKEY_CLASSES_ROOT / ChromeHTML / shell / deschis / comanda. aducându-l la această formă:
"C: \ Program Files \ Google \ Chrome \ Application \ chrome.exe" --ssl-versiune-min = tls1 - "% 1"
Asigurați-vă că calea către Chrome.EXE corespunde sistemului dumneavoastră.
Modificarea link-ul simbolic pe desktop și meniul de aplicare depind de mediul grafic. De exemplu, în Ubuntu trebuie să editați fișierul /usr/share/applications/google-chrome.desktop. Opțiunea --ssl-versiune alăturarea-min = tls1 în linia care începe cu "exec =". de exemplu, pentru a schimba:
redus la o formă:
Exec = / usr / bin / google-crom-stabil --ssl-versiune min = tls1% U
acum trebuie să salvați fișierul și reporniți browserul.
Numai pentru Chromium în versiunile stabile Debian și Ubuntu, trebuie să fișier / etc / crom-browser-/ implicit pentru a adăuga o linie:
Pe versiunea instabilă de Debian pe care doriți să creați un fișier /etc/chromium.d/disable-sslv3. string care cuprinde:
do shell script "deschis '/ Aplicații / Google Chrome.app' --args --ssl-versiune-min = tls1"
apoi salvați-l ca o aplicație și pentru a adăuga la Dock.
Mozilla Firefox
Internet Explorer
Du-te la Start >> Internet Options.
Fila Avansat.
Debifați Utilizați SSL 3.0.
Confirmați cu OK.
Dacă aveți o versiune mai veche de Windows, cum ar fi Windows XP, asigurați-vă că Service Pack 3 (SP3), pentru a avea acces la site-uri cu protocol dezactivate SSLv3.
Dacă utilizați Opera 12.17 sau mai târziu:
Apăsați ctrl + f12.
Faceți clic pe tab-ul "Advanced".
Faceți clic pe meniul „Securitate“ din partea stângă.
Faceți clic pe „Funcții de securitate“.
Debifați "Activați SSL 3".
Faceți clic pe OK.
SSLv3 Protocol pe serverele de mail Dezactivarea
Dezactivați SSLv3 în Sendmail
Lista următoarele linii în fișierul de configurare sendmail.mc. LOCAL_CONFIG în această secțiune:
LOCAL_CONFIG
O CipherList = HIGH
O ServerSSLOptions = + SSL_OP_NO_SSLv2 + SSL_OP_NO_SSLv3 + SSL_OP_CIPHER_SERVER_PREFERENCE
O ClientSSLOptions = + SSL_OP_NO_SSLv2 + SSL_OP_NO_SSLv3
apoi reporniți sendmail
Dezactivați SSLv3 în Postfix
Prescrierea în fișierul de configurare postfix sau corectați următoarele linii:
smtpd_tls_mandatory_protocols =! SSLv2 SSLv3 ,!
smtp_tls_mandatory_protocols =! SSLv2 SSLv3 ,!
smtpd_tls_protocols =! SSLv2 SSLv3 ,!
smtp_tls_protocols =! SSLv2 SSLv3 ,!
Dezactivați SSLv3 în Dovecot
Prescrierea fișierul de configurare /etc/dovecot/local.conf următoarea linie, sau dacă există un fix:
ssl_protocols =! SSLv2! SSLv3
Dezactivați SSLv3 în Courier-IMAP
Montați-l în fișierul de configurare / etc / curier / imapd-ssl. sau în cazul în care există un fix:
IMAPDSSLSTART = NO
IMAPDSTARTTLS = DA
IMAP_TLS_REQUIRED = 1
TLS_PROTOCOL = TLS1
TLS_STARTTLS_PROTOCOL = TLS1
Dezactivarea protocolului SSLv3 în alte servicii de rețea
Dezactivați SSLv3 pentru Java
În panoul de control, du-te Java: Start -> Java -> Configurare Java. fila Advanced. defilați în jos, debifați Utilizați SSL 3.0.
Dezactivați SSLv3 pentru NodeJS
Dacă utilizați NodeJS ca un server web (nu este o idee bună), set secureOptions:
Dezactivați SSLv3 pentru OpenVPN
OpenVPN utilizează TLSv1.0 sau de la versiunea 2.3.3, o TLSv1.2 opțională, prin urmare, nu este supus atac Pudel
Dezactivați SSLv3 pentru păpuși
Agenți de păpuși nu sunt atac Pudel subiect.
Dacă, totuși doriți să dezactivați SSLv3, utilizarea / puppetmodule proces expertul modul stephenrjohnson care nu utilizează SSLv3.
Dezactivați SSLv3 pentru HAProxy
Editați directiva se leagă în fișierul de configurare /etc/haproxy.conf. adaugand nici-SSLv3. Obținem ceva de genul:
lega: 443 cifruri ssl no-SSLv3 CRT