База знаний

Уязвимость SSLv3 POODLE и способы защиты

Как защитить сервер

Самым легчайшим и лучшим решением для решения уязвимости с POODLE является отключение поддержки SSLv3 на Вашем сервере. Однако это вызовет пару оговорок. Для веб-трафика есть несколько систем, которые не позволят создать соединение ни с чем, кроме SSLv3. Например, системы, использующие IE6 и WindowsXP без SP3 не смогут открыть какой-либо сайт, который не поддерживает SSLv3. Согласно данным, опубликованным на сервисе CloudFlare, который в свою очередь полностью отключил SSLv3 для всех своих пользователей, пострадает всего-лишь малая часть их веб-трафика, поскольку  98.88% пользователей WindowsXP использует TLSv1.0 и выше.

APACHE

Для отключения SSLv3 на Apache-сервере Вам необходимо его настроить следующим образом. В конфигах виртуалхостов и самого веб-сервера (обычно расположены в /etc/apache2/ или /etc/httpd/) соответствующую строку нужно привести к следующему виду:

SSLProtocol All -SSLv2 -SSLv3

Это предоставит Вам поддержку протоколов TLSv1.0, TLSv1.1 и TLSv1.2, но отключит поддержку SSLv2 и SSLv3. Проверьте конфигурацию Apache и перезапустите его командами:

apachectl configtest
sudo service apache2 restart

NGINX

Отключение SSLv3 на NGINX производится также легко. В конифгах виртуалхостов и вебсервера (/etc/nginx/) редактируем строку:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Как и с конфигурацией Apache, Вы получите поддержку TLSv1.0+ без поддержки протоколов SSL. Вы можете проверить конфигурацию и перезапустить NGINX:

sudo nginx -t
sudo service nginx restart

IIS

Настройка IIS требует нескольких манипуляций в системном реестре и перезагрузку веб-сервера. У Microsoft есть руководство с необходимой информацией, но все что Вам нужно – это изменить/создать значение DWORD в Вашем системном реестре:

HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

Внутри папки «Protocols» скорее всего уже будет присутствовать папка SSL 2.0 и Вам необходимо создать папку SSL 3.0 при ее отсутствии. Внутри SSL 3.0 создайте папку Server, а внутри нее переменную DWORD со значением равным 0. Как только это будет сделано – перезагрузите сервер для вступления изменений в силу.

Poodle_1.jpg

Как проверить сервер

Если нужно проверить, как настроен SSL-сертификат для сайта, используйте сервис Qualys SSL Test. Вам необходимо только ввести доменное имя, сайт которого находится на интересующем веб-сервере, запустить проверку и дождаться ее окончания.

Результатом проверки является комплексная информация о поддержке SSL для данного сайта. Интересующие нас результаты можно будет увидеть в блоке «Configuration» раздела «Protocols».

В результате проверки ожидается, что все протоколы SSL будут отключены и вместо них будет рабочим какой-либо протокол TLS, который является более новым в сравнении с SSLv2/v3.

Как защитить вэб-браузер

Также возможно защититься от POODLE отключением поддержки протокола SSLv3 в Вашем браузере.

FIREFOX

Пользователи Firefox могут ввести about:config в адресную строку браузера и затем воспользовавшись поиском найти директиву security.tls.version.min. Ее значение нужно изменить с 0 на 1. Существующее значение («0») позволяет браузеру использовать SSLv3 где необходимо. Путем изменения вышеуказанного значения Firefox принудительно не станет использовать SSL, а только TLSv1.0 или выше, который неуязвим в отношении POODLE.

Poodle_2.jpg

CHROME

Пользователи Chrome не имеют возможности отключить поддержку SSLv3 в графическом интерфейсе самого браузера. Вместо этого Вы можете добавить строку --ssl-version-min=tls1 которая принудительно вызывает использование TLS и предотвращает любые соединения, связанные с SSL. В Windows вызовите контекстное меню на ярлыке Chrome, выберите поле «Свойства» и добавьте команду, как показано на рисунке.

Poodle_3.jpg

Если Вы используете Google Chrome на MAC, Linux Chrome OS или Android, Вы можете руководствоваться следующими инструкциями.

INTERNET EXPLORER

Настройка Internet Explorer также довольно несложная. Перейдите в «Settings», “Internet Options” и нажмите на вкладку «Дополнительно». Опуститесь ниже по списку, и Вы увидите поле Use SSL 3.0, которое необходимо отключить.

Как проверить ваш браузер

Используя сервис Qualys SSL Client Test можно проверить, какие протоколы шифрования на данный момент поддерживает Ваш браузер.

Информация взята с сайта https://scotthelme.co.uk/ и представлена в сжатом виде. Команда SSLcertificate.ru выражает благодарность автору статьи.


Читайте здесь, для чего нужен SSL-сертификат.


Также читают
Что такое Support Pin? (просмотров: 91)

Powered by WHMCompleteSolution

Быстрый переход

Вход для клиента

Электронная почта

Пароль

Запомнить меня

Поиск