Poodle SSLv3 - уязвимость протокола SSL 3.0

Заметка на тему: Linux, SSL, FreeBSD, Debian

Программеры из Google нашли очередной "баг" в считающемся безопасным протоколе SSL версии 3.0. И этот баг реально позволяет расшифровать содержимое защищённого канала передачи данных, который как раз таки и использует SSLv3. Проще говоря, отправляемые по SSL v3 данные перехватываются, расшифровываются и могут быть использованы злоумышленниками в дальнейшем. То есть этот протокол в одно мгновение ока перерос из безопасного в один из самых опасных. А назвали его в честь безобидной собаки - POODLE (или просто "Пудель"). А может быть и не только собаки =)

Решение проблемы (фикс уязвимости SSLv3)

Только полное отключение протокола SSLv3, так как в третьей версии уязвимость остается актуальной. В системе так же есть TLSv1, TLSv1.1, TLSv1.2, которые заменят SSLv3 на время, пока разработчики SSL не выпустят новую версию уже без этого бага.

Отключение SSL версии 3.0 на Debian 7 Wheezy, FreeBSD 8 и FreeBSD 9

У меня на контроле висит несколько выделенных серверов, которые, как и все, используют SSL. На них установлены разные ОС: Debian 7 Wheezy, FreeBSD 8 и FreeBSD 9. Но задача была одна: отключить везде SSLv3.

Где нужно отключать SSLv3? Однозначно нам нужно редактировать настройки web-сервера. В большинстве случаев используется связка apache2 + nginx. То есть нам нужно:

1) Разрешить только TLSv1.2, TLSv1.1 и TLSv1 в Nginx.
2) Запретить использование SSLv3 в Apache.

Редактируем настройки Nginx в Debian 7 Wheezy, FreeBSD 8 и FreeBSD 9

Файл настроек Nginx в FreeBSD 8 и FreeBSD 9 находится вот по такому пути:

В Debian 7 Wheezy же настройки Nginx лежат вот здесь:


Нам нужно открыть этот файл, найти настройку ssl_protocols и отредактировать её или же заменить полностью эту строку на:

Тем самым мы разрешим nginx использовать только перечисленные выше протоколы.
Внимание! Если перед ssl_protocols есть знак #, то его тоже нужно убрать, так как этот знак обозначает закомментированность настройки, то есть она не будет работать с таким знаком перед ней.

Кстати, открыть этот файл можно, например, через shell терминал vim редактором. Если же у вас есть, например, ISP manager, то там еще еще проще: достаточно зайти в "Менеджер файлов", а там уже можно будет и войти в нужные каталоги, и открыть нужные файлы с настройками.

Редактируем настройки Apache SSL в Debian 7 Wheezy, FreeBSD 8 и FreeBSD 9

Основные настройки Apache находятся в файле -
Для FreeBSD 8 и FreeBSD 9:

Для Debian 7 Wheezy:


Но нам нужны именно настройки Apache SSL и вот этот файл -
Для FreeBSD 8 и FreeBSD 9:

Для Debian 7 Wheezy:


Нам нужно открыть этот файл, найти настройку SSLProtocol и отредактировать её или же заменить полностью эту строку на:

Тем самым мы запретим апатчу использовать протокол SSLv3 (как и SSLv2, но он и так по умолчанию запрещен). То есть будет подгружаться все тот же TLSv1 и TLSv1.X.
По поводу знака # и vim-редактора повторяться не буду. Читайте в предыдущем пункте.

На этом все, борьба с уязвимостью SSLv3 завершена. Если Вы задумали перейти на HTTPS и SSL, то обязательно прочитайте, как сделать это правильно, не потеряв позиций в поисковых системах. Вопросы и свои мысли можете оставлять в комментариях. Всем удачи и поменьше таких багов =)