Отключить SSLv3 в основных браузерах

Поскольку возникает вопрос: как отключить поддержку SSL версии 3 и установить TLS версию 1 как минимум (самый старый) протокол, поддерживаемый для защиты от POODLE.

Этот тест можно протестировать в браузере.

В принципе, я еще не нашел решение для Safari.

    Я опубликовал блог о том, как отключить SSLv3 на некоторых наиболее распространенных баузерах и серверных платформах: https://scotthelme.co.uk/sslv3-goes-to-the-dogs-poodle-kills-off-protocol/

    Ниже приведены ключевые сведения.

    Как защитить свой сервер

    Самое простое и надежное решение для POODLE – отключить поддержку SSLv3 на вашем сервере. Однако это приносит несколько предостережений. Для веб-трафика есть некоторые устаревшие системы, которые не смогут подключаться ни к чему, кроме SSLv3. Например, системы, использующие установки IE6 и Windows XP без SP3, больше не смогут связываться с сайтом, который перегружает SSLv3. Согласно данным, опубликованным CloudFlare, которые полностью отключили SSLv3 во всей своей клиентской недвижимости, пострадает только небольшая часть их веб-трафика, поскольку 98,88% пользователей Windows XP подключаются к TLSv1.0 или выше.

    апаш

    Чтобы отключить SSLv3 на вашем сервере Apache, вы можете настроить его, используя следующее.

    SSLProtocol All -SSLv2 -SSLv3 

    Это даст вам поддержку TLSv1.0, TLSv1.1 и TLSv1.2, но явно удалит поддержку SSLv2 и SSLv3. Проверьте конфигурацию и перезапустите Apache.

     apachectl configtest sudo service apache2 restart 

    Nginx

    Отключение поддержки SSLv3 на NginX также очень просто.

     ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 

    Как и в случае с конфигурацией Apache выше, вы получите поддержку TLSv1.0 + и отсутствие SSL. Вы можете проверить конфигурацию и перезапустить.

     sudo nginx -t sudo service nginx restart 

    IIS

    Это требует некоторых настроек реестра и перезагрузки сервера, но все еще не так уж плохо. У Microsoft есть статья поддержки с необходимой информацией, но все, что вам нужно сделать, это изменить / создать значение реестра DWORD.

    HKey_Local_Machine \ System \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Протоколы

    Внутри протоколов вы, скорее всего, уже имеете ключ SSL 2.0, поэтому при необходимости создайте SSL 3.0 вместе с ним. Под этим создайте ключ сервера и внутри него значение DWORD под названием Enabled со значением 0. Как только это будет сделано, перезагрузите сервер, чтобы изменения вступили в силу.

    Настройки IIS

    Как проверить свой сервер

    Самый простой и, вероятно, наиболее распространенный метод проверки чего-либо, связанного с настройкой SSL, – это тест Qualys SSL . Просто перейдите на сайт, введите домен для веб-сайта, который вы хотите проверить, и нажмите submit, чтобы начать тест.

    Qualys Check Domain

    По завершении теста вы получите хорошее резюме своих результатов и подробную информацию по странице. В частности, вы хотите посмотреть в разделе «Конфигурация» в поддерживаемых протоколах.

    Проверить протоколы

    Здесь вы хотите видеть, что SSL-протоколы не поддерживаются. Вы давно должны отключить SSLv2.0, и теперь мы просто удалили SSLv3.0. Поддержка TLSv1.0 или выше достаточно хороша, чтобы поддерживать абсолютное большинство пользователей Интернета, не подвергая кого-либо ненужному риску.

    Как защитить свой браузер

    Также вы можете защитить себя от POODLE, отключив поддержку SSLv3 в своем браузере. Это означает, что даже если сервер действительно поддерживает SSLv3, ваш браузер никогда не будет использовать его, даже во время атаки на понижение протокола.

    Fire Fox

    Пользователи Firefox могут ввести около: config в свою адресную строку, а затем security.tls.version.min в поле поиска. Это вызовет настройку, которая должна быть изменена с 0 на 1. Существующий параметр позволяет Firefox использовать SSLv3, где он доступен, и если это необходимо. Изменив настройку, вы заставите Firefox использовать только TLSv1.0 или выше, что не уязвимо для POODLE.

    Настройки Firefox

    Хром

    Пользователи Chrome не имеют возможности в GUI отключать SSLv3, поскольку Google удалил его из-за путаницы в отношении того, был ли SSLv3 или TLSv1 лучше с тем, у кого более высокое числовое значение. Вместо этого вы можете добавить флаг командной строки –ssl-version-min = tls1, чтобы обеспечить использование TLS и предотвратить любое соединение с использованием протокола SSL. В Windows щелкните правой кнопкой мыши ярлык Chrome, нажмите «Свойства» и добавьте флаг командной строки, как показано на изображении ниже.

    Настройки Chrome

    Если вы используете Google Chrome на Mac, Linux, Chrome OS или Android, вы можете следовать этим инструкциям здесь .

    Internet Explorer

    Исправление Internet Explorer также довольно легко. Перейдите в «Настройки», «Свойства обозревателя» и перейдите на вкладку «Дополнительно». Прокрутите страницу вниз до тех пор, пока не увидите флажок Использовать SSL 3.0 и снимите флажок.

    Настройки IE

    Как проверить браузер

    Если вы хотите проверить, что ваши изменения в браузере определенно удалили поддержку SSLv3.0, есть несколько сайтов, которые вы можете использовать. Если вы запустите https://zmap.io/sslv3/ с включенным SSLv3 в своем браузере, вы увидите предупреждающее сообщение, которое я получаю здесь, в Chrome, где я еще не отключил SSLv3. Чтобы дважды проверить, что сайт работает должным образом, я отключил поддержку SSLv3 в Internet Explorer и открыл там сайт. Здесь вы можете увидеть разницу.

    Проверка Chrome и IE

    Вы также можете попробовать https://www.poodletest.com/ рядом с Zmap.

    Opera 12.16 (Linux и Windows)

    1. Перейдите в opera: config # SecurityPrefs | EnableSSLv3
    2. Снимите Enable SSL v3
    3. Нажмите Сохранить и перезапустить Opera

      Конфигурация Linux Opera
      нажмите, чтобы увеличить

    В ближайшем будущем ожидается, что все основные браузеры не будут поддерживать SSL3 по умолчанию. До тех пор пользователям рекомендуется принимать меры в зависимости от используемых ими браузеров.

    Fire Fox

    Перейдите к about:config (введите его в строке URL) и выполните поиск security.tls.version.min . Найдите security.tls.version.min и установите значение 1 .

    Кроме того, вы можете использовать эту надстройку Mozilla, которая делает то же самое (перезагрузка не требуется)


    Хром

    Запустите его с добавленным аргументом --ssl-version-min=tls1

    Пользователи MAC os могут делать это с терминала через

    Открыть / Приложения / Google \ Chrome.app –args –ssl-version-min = tls1


    опера

    См. Ответ frogstarr78


    Сафари

    Из комментария @ itscooper:

    Обновление безопасности Apple 2014-005 относится к POODLE, но не полностью отключает SSL3 с CBC. Он «[отключает] CBC-шифра, когда попытки подключения TLS не выполняются». По сути, если злоумышленник попытался понизить соединение с TLS на SSL 3, который, как ожидается, станет преобладающим вектором атаки, уязвимые шифры будут затем отключены. Тесты в браузере на самом деле не могут это проверить.


    Internet Explorer

    1. В меню инструментов выберите «Свойства обозревателя».
    2. Перейдите на вкладку «Дополнительно».
    3. В категории «Безопасность» снимите флажок «Использовать SSL 3.0» и проверьте версии TLS.
    4. Нажмите «ОК», выйдите и перезапустите браузер.
    Давайте будем гением компьютера.