Kapcsold ki a veszélyeztetett SSLv3 protokoll szerver oldalon és a kliens
Az SSL protokoll és utódja TLS - ez titkosítási protokollokat, amelyek biztosítják a biztonsági hálózati kapcsolatok az internetre. Amellett, hogy a forgalmazó HTTPS. Ajánlott webes kapcsolatok, és ezek által használt számos más alkalmazás. SSLv1 soha nyilvánosan elő, SSLv2 gyorsan kiderült, hogy nem biztonságos. SSLv3 jött létre. még mindig használják a Transport Layer Security Internet kapcsolat együtt TLSv1 / 1.1 / 1.2.
Nem is olyan régen, a Google mérnökei felfedezték sérülékenység SSLv3 protokoll, amely révén ez a változat SSL alá uszkár támadást. és annak használata nem kívánatos. Van egy folt, de ez nem oldja meg a problémát teljesen, az kell javítani mindkét oldalán a kapcsolatot, az ügyfél és a kiszolgáló.
Jegyzőkönyv SSLv3 közel 18 éves, de még mindig nagyon gyakori a hálózaton, anélkül, hogy megnézné, a lehető leghamarabb kell elhagyni a használja ezt a verziót az SSL protokoll, mind a szerver oldali és a kliens. Bár van egy kis része az Internet-felhasználók, akik a rendszer nagyon elavult, és nem támogatja a TLS, ebben a tekintetben, ők csak a saját képes csatlakozni a webhely vagy szolgáltatás.
A legfontosabb kérdések és válaszok tekintetében a protokoll SSLv3
Miért kellene tiltani SSLv3 szerver?
Ha a tulajdonos vagy a kiszolgáló rendszergazdája, akkor tényleg le kell tiltani SSLv3 a lehető leghamarabb, valamit, hogy megvédje a felhasználók számára. Letiltása után SSLv3 protokoll kliensek nem tudja használni a sebezhető verziója az SSL protokoll csatlakozni, és kénytelen lesz használni egy újabb, biztonságosabb alternatíva.
Miért kell letiltani SSLv3 az ügyfél?
Mint felhasználó, akkor ki kell kapcsolni SSLv3 a böngészőben ahhoz, hogy megvédjék magukat, amikor látogasson telek, hogy továbbra is támogatja SSLv3. Ezzel, akkor biztos lehet benne, hogy a webes alkalmazás nem próbálja meg kapcsolatot létesíteni SSLv3 és fel fogja használni a biztonságosabb alternatíva.
Van uszkár sérülékenység végrehajtását, így ugyanaz, mint a biztonsági rés az OpenSSL heartbleed?
Nem, uszkár ezt a protokollt a biztonsági rést. Ez azt jelenti, hogy jön a belső működését a SSLv3, és akkor nem kell megjavítani.
Szükség van-e visszavonni igazolások után uszkár?
Nem, akkor nem kell új bizonyítványok kiállítását. Attack uszkár - ez nem egy memóriavesztés, ez a támadás adatmentés egyszerű szöveges, amelynek célja a HTTP-fejléceket, és használja a SSLv3 protokoll gyengeségét, amikor dolgozik blokk titkosítást.
SSLv3 letiltása közös webszerverek
Kikapcsolja SSLv3 az Apache webszerver
Add az apache konfigurációs fájlban. vagy meg kell változtatni, ha már van, de ez nem felel meg, a következő utasítást:
SSLProtocol Minden -SSLv2 -SSLv3
majd perezagpustit apache:
Kikapcsolja SSLv3 egy IIS webkiszolgáló
Disable_ssl3.reg Hozzon létre egy rendszerleíró fájlt a következő tartalommal:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ jegyzőkönyvek \ SSL 3.0 \ Server]
"Engedélyezve" = dword: 00000000
[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ jegyzőkönyvek \ SSL 2.0 \ Server]
"Engedélyezve" = dword: 00000000
és futtatni.
Kikapcsolja SSLv3 az nginx webszerver
Add nginx.conf irányelv a konfigurációs fájlban:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ha ilyen van már más, helyes, és indítsa újra nginx
Kikapcsolja SSLv3 a Lighttpd webszerver
Közlemény Lighttpd szerver változat 1.4.28 csak letilthatja SSLv2. Ha ön használ verzió 1.4.29 vagy magasabb, csatoljuk a konfig:
ssl.use-SSLv2 = "disable"
ssl.use-SSLv3 = "disable"
indítsa újra a kiszolgálót
Letiltása SSLv3 protokoll a főbb böngészők
A Chrome és a Chromium
Ha Chrome-ot használ a 40 vagy annál magasabb, akkor biztonságban, verzió óta 40 Chrome / Chromium teljesen letiltani SSLv3.
A Chrome és a Chromium használt paraméterek, így a felhasználó adja meg a kívánt protokollt, de sokan tévesen úgy vélik, hogy a SSLv3 egy újabb verzió, mint a TLS 1.0 és tévesen kikapcsolta az utolsó.
Így, míg a Google Chrome-ot vagy Chromium alapértelmezett fogyatékkal SSLv3 nem nyilvánították, meg kell futtatni ezeket a böngészők a parancssori paramétert --ssl-version-min = TLS1. Ehhez meg lehet változtatni a parancsikont a kérelem, az, hogy fut a böngésző a megfelelő paraméterrel.
- Kattintson a jobb gombbal a parancsikonra Google Chrome / Chromium az asztalon, Tulajdonságok fülre.
- A sorban tárgy után az utolsó kettőspont szimbólum, adjunk hozzá egy szóközt, majd --ssl-version-min = TLS1.
- Kattintson az OK gombra, és erősítse meg, ha a rendszer kérni fogja az adminisztrátori jogokat.
Tartsuk szem előtt, hogy ez a beállítás csak védi böngésző munkamenet fut az asztali parancsikon futásra ülések kattintva egy linket egy dokumentumban vagy levélben, ennek a beállításnak nincs hatása. Mi lenne kijavítani ezt meg kell szerkeszteni a rendszerleíró értéket HKEY_CLASSES_ROOT / ChromeHTML / shell / open / command. hozza, hogy ebben a formában:
"C: \ Program Files \ Google \ Chrome \ Application \ chrome.exe" --ssl-version-min = TLS1 - "% 1"
Győződjön meg arról, hogy az út chrome.exe megfelel a rendszer.
Változás a szimbolikus link az asztalon és az alkalmazás menü függ a grafikus környezetben. Például az Ubuntu meg kell szerkeszteni a fájlt /usr/share/applications/google-chrome.desktop. hozzáfűzése opció --ssl-version-min = TLS1 a sorban kezdődő "exec =". például változtatni:
csökken a formában:
Exec = / usr / bin / google-króm-stabil --ssl-változat-min = TLS1% U
Most meg kell menteni a fájlt, és indítsa újra a böngészőt.
Csak Chromium stabil kiadásban a Debian és Ubuntu, meg kell / etc / króm-böngésző / default hozzá egy sort:
Az instabil változata Debian szeretne létrehozni egy fájlt /etc/chromium.d/disable-sslv3. karakterlánc, amely tartalmaz:
do shell script "nyitott '/ Applications / Google Chrome.app' --args --ssl-version-min = TLS1"
majd mentse el a kérelmet, és hozzá a Dock.
Mozilla Firefox
Internet Explorer
Menjen a Start >> Internet Options.
A Speciális lapon.
Törölje az SSL 3.0 használata.
Erősítse meg az OK gombot.
Ha van egy régebbi változata a Windows, mint a Windows XP, győződjön meg arról, hogy a Service Pack 3 (SP3), hogy hozzáférjenek a helyszínek fogyatékkal protokoll SSLv3.
Ha az Opera 12.17-utóbb:
Nyomja meg a ctrl + f12.
Kattintson az „Advanced” fülre.
Kattintson a „Security” menüben a bal oldalon.
Kattintson a „Biztonsági funkciók”.
Törölje az "Enable SSL 3".
Kattintson az OK gombra.
SSLv3 letiltása Jegyzőkönyv mail szerverek
Kikapcsolja SSLv3 a Sendmail
Sorolja fel a következő sorokat a sendmail.mc konfigurációs fájlban. LOCAL_CONFIG ez a rész:
LOCAL_CONFIG
O CipherList = MAGAS
O ServerSSLOptions = + SSL_OP_NO_SSLv2 + SSL_OP_NO_SSLv3 + SSL_OP_CIPHER_SERVER_PREFERENCE
O ClientSSLOptions = + SSL_OP_NO_SSLv2 + SSL_OP_NO_SSLv3
majd indítsa újra a sendmail
Kikapcsolja SSLv3 a Postfix
Előírni a Postfix konfigurációs fájlban vagy javítsa a következő sorokat:
smtpd_tls_mandatory_protocols =! SSLv2 ,! SSLv3
smtp_tls_mandatory_protocols =! SSLv2 ,! SSLv3
smtpd_tls_protocols =! SSLv2 ,! SSLv3
smtp_tls_protocols =! SSLv2 ,! SSLv3
Kikapcsolja SSLv3 a Dovecot
Előírja a konfigurációs fájl /etc/dovecot/local.conf következő sorban, vagy ha van egy fix:
ssl_protocols =! SSLv2! SSLv3
Kikapcsolja SSLv3 a Courier-IMAP
Csatoljuk fel a konfigurációs fájl / etc / courier / imapd-ssl. vagy ha van egy fix:
IMAPDSSLSTART = NO
IMAPDSTARTTLS = IGEN
IMAP_TLS_REQUIRED = 1
TLS_PROTOCOL = TLS1
TLS_STARTTLS_PROTOCOL = TLS1
Letiltása SSLv3 protokoll valamilyen más hálózati szolgáltatások
Kikapcsolja SSLv3 Java
A vezérlőpult, menj java: Start -> Java -> Configure Java. fül Részletes. lapozzunk lefelé, törölje az SSL 3.0 használata.
Kikapcsolja SSLv3 az NodeJS
Ha ön használ NodeJS a web szerver (nem jó ötlet), állítsa secureOptions:
Kikapcsolja SSLv3 OpenVPN
OpenVPN használ TLSv1.0 vagy verzió 2.3.3, opcionális TLSv1.2 ezért nem tartozik a támadás uszkár
Kikapcsolja SSLv3 a Bábszínház
Puppet szerek nem tárgyát uszkár támadást.
Ha továbbra is szeretné kikapcsolni SSLv3 használata stephenrjohnson / puppetmodule modul varázsló folyamat, amely nem használ SSLv3.
Kikapcsolja SSLv3 az HAProxy
Szerkesztése a bind irányelv /etc/haproxy.conf konfigurációs fájlban. hozzátéve no-SSLv3. Kapunk valami ilyesmit:
kötődnek: 443 ssl CRT ciphers no-SSLv3