Хочу рассказать Вам все о сайтах, что узнал сам за 15 лет.
Блог Виталия Жукова Vitalik.WS Свой сайт с нуля - легко!
Обо мне, как об авторе блога.
Подробнее
Vitalik.WSЗаметки → Poodle SSLv3 - уязвимость протокола SSL 3.0

Poodle SSLv3 - уязвимость протокола SSL 3.0
Заметка на тему: Linux, SSL, FreeBSD, Debian

Программеры из Google нашли очередной "баг" в считающемся безопасным протоколе SSL версии 3.0. И этот баг реально позволяет расшифровать содержимое защищённого канала передачи данных, который как раз таки и использует SSLv3. Проще говоря, отправляемые по SSL v3 данные перехватываются, расшифровываются и могут быть использованы злоумышленниками в дальнейшем. То есть этот протокол в одно мгновение ока перерос из безопасного в один из самых опасных. А назвали его в честь безобидной собаки - POODLE (или просто "Пудель"). А может быть и не только собаки =)

Решение проблемы (фикс уязвимости SSLv3)

Только полное отключение протокола SSLv3, так как в третьей версии уязвимость остается актуальной. В системе так же есть TLSv1, TLSv1.1, TLSv1.2, которые заменят SSLv3 на время, пока разработчики SSL не выпустят новую версию уже без этого бага.

Отключение SSL версии 3.0 на Debian 7 Wheezy, FreeBSD 8 и FreeBSD 9

У меня на контроле висит несколько выделенных серверов, которые, как и все, используют SSL. На них установлены разные ОС: Debian 7 Wheezy, FreeBSD 8 и FreeBSD 9. Но задача была одна: отключить везде SSLv3.

Где нужно отключать SSLv3? Однозначно нам нужно редактировать настройки web-сервера. В большинстве случаев используется связка apache2 + nginx. То есть нам нужно:

1) Разрешить только TLSv1.2, TLSv1.1 и TLSv1 в Nginx.
2) Запретить использование SSLv3 в Apache.

Редактируем настройки Nginx в Debian 7 Wheezy, FreeBSD 8 и FreeBSD 9

Файл настроек Nginx в FreeBSD 8 и FreeBSD 9 находится вот по такому пути:
/usr/local/etc/nginx/nginx.conf

В Debian 7 Wheezy же настройки Nginx лежат вот здесь:
/etc/nginx/nginx.conf


Нам нужно открыть этот файл, найти настройку ssl_protocols и отредактировать её или же заменить полностью эту строку на:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Тем самым мы разрешим nginx использовать только перечисленные выше протоколы.
Внимание! Если перед ssl_protocols есть знак #, то его тоже нужно убрать, так как этот знак обозначает закомментированность настройки, то есть она не будет работать с таким знаком перед ней.

Кстати, открыть этот файл можно, например, через shell терминал vim редактором. Если же у вас есть, например, ISP manager, то там еще еще проще: достаточно зайти в "Менеджер файлов", а там уже можно будет и войти в нужные каталоги, и открыть нужные файлы с настройками.

Редактируем настройки Apache SSL в Debian 7 Wheezy, FreeBSD 8 и FreeBSD 9

Основные настройки Apache находятся в файле -
Для FreeBSD 8 и FreeBSD 9:
/usr/local/etc/apache22/apache2.conf

Для Debian 7 Wheezy:
/etc/apache2/apache2.conf


Но нам нужны именно настройки Apache SSL и вот этот файл -
Для FreeBSD 8 и FreeBSD 9:
/usr/local/etc/apache22/extra/httpd-ssl.conf

Для Debian 7 Wheezy:
/etc/apache2/mods-enabled/ssl.conf


Нам нужно открыть этот файл, найти настройку SSLProtocol и отредактировать её или же заменить полностью эту строку на:
SSLProtocol All -SSLv2 -SSLv3

Тем самым мы запретим апатчу использовать протокол SSLv3 (как и SSLv2, но он и так по умолчанию запрещен). То есть будет подгружаться все тот же TLSv1 и TLSv1.X.
По поводу знака # и vim-редактора повторяться не буду. Читайте в предыдущем пункте.

На этом все, борьба с уязвимостью SSLv3 завершена. Если Вы задумали перейти на HTTPS и SSL, то обязательно прочитайте, как сделать это правильно, не потеряв позиций в поисковых системах. Вопросы и свои мысли можете оставлять в комментариях. Всем удачи и поменьше таких багов =)

Все комментарии к заметке "Poodle SSLv3 - уязвимость протокола SSL 3.0"

  • Комментариев еще нет.
    Оставьте свой комментарий первым!
Написать свой комментарий:
Отправить
ВНИМАНИЕ! Пожалуйста НЕ пишите в комментариях рекламу, оскорбления, бессмыслицу и прочие проявления интернет-нечисти, так как эти сообщения всеравно не будут опубликованы. Пишите исключительно по теме и ваш комментарий обязательно будет опубликован, а возможно и прокомментирован.
 Подписывайтесь на мой блог
Хотите первыми узнавать о самом интересном? Тогда подпишитесь на рассылку новостей.
Подписаться
Подписавшись на рассылку, Вы всегда будете в первую очередь узнавать о самой важной и полезной для блоггеров и веб-мастеров информации.