Как защитить сервер

Проще всего и надежнее избавиться от уязвимости POODLE — это отключить поддержку SSLv3 на сервере. Однако, и здесь есть некоторые оговорки. Среди множества систем существуют и такие, которые позволяют создать соединение лишь по протоколу SSLv3. Например, системы, использующие IE6 и WindowsXP без SP3 не смогут открыть сайт, лишенный поддержки SSLv3. Тем не менее, согласно информации, опубликованной на сервисе CloudFlare, полностью отключившем уязвимый протокол для всех своих пользователей, пострадает лишь незначительная часть их веб-трафика, поскольку 98.88% пользователей WindowsXP использует TLS версии 1.0 и выше.

APACHE

Для того, чтобы отключить протокол SSLv3 на веб-сервере Apache, необходимо в конфигурационном файле вебсервера и конфигурациооном файле виртуалхоста (обычно расположен в папке /etc/apache2/ или /etc/httpd/) найти следующую строку и привести ее к виду:

SSLProtocol All -SSLv2 -SSLv3

При этом TLSv1.0, TLSv1.1 и TLSv1.2 все еще будут поддерживаться, а SSLv2 и SSLv3 будут отключены. Проверяем конфигурацию Apache и перезапускаем его командами:

apachectl configtest
sudo service apache2 restart
NGINX

Деактивировать поддержку SSLv3 на NGINX также очень просто — в файлах конфигурации веб-сервера и виртуалхоста (расположены в /etc/nginx/) отредактировать строку:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Так веб-сервер сможет поддерживать TLSv1.0+ без поддержки SSL. Следующий шаг — проверика конфигурации и перезапуск NGINX:

sudo nginx -t
sudo service nginx restart
IIS

Чтобы защитить IIS необходимо отредактировать отвечающий за поддержку протокола параметр в системном реестре и перезагрузить серверы. Можно воспользоваться руководством компании Microsoft, но все что нужно — это создать/изменить значение параметра DWORD в системном реестре сервера:

HKey_Local_MachineSystemCurrentControlSetControlSecurityProviders SCHANNELProtocols

Папка «Protocols» скорее всего уже содержит папку SSL 2.0; вам необходимо будет создать папку SSL 3.0 в случае отсутствия таковой. Внутри SSL 3.0 создайте папку Server, а внутри нее — переменную DWORD со значением 0. Далее перезагрузите сервер для того, чтобы изменения вступили в силу.

Poodle_1.jpg

Как проверить сервер

Самым легким и распространенным способом проверки конфигурации SSL является сервис Qualys SSL Test. Все, что нужно — ввести доменное имя сайта, который находится на проверяемом сервере и запустить тест.

После его завершения будет отображена комплексная информация о поддержке SSL-протоколов сервером. Нужные нам данные можно будет увидеть в разделе «Protocols», блок «Configuration».

В результате проверки ожидается, что протокол SSL (обе версии) будет отключен, и вместо него рабочим останется какой-либо из протоколов TLS, более современный по сравнению с SSLv2/v3.

Как защитить вэб-браузер

Также возможно защититься от POODLE отключением поддержки протокола SSLv3 в вашем браузере.

FIREFOX

Пользователи Firefox могут ввести about:config в адресную строку браузера и затем воспользовавшись поиском найти директиву security.tls.version.min. Ее значение нужно изменить с 0 на 1. Существующее значение («0») позволяет браузеру использовать SSLv3 где необходимо. Путем изменения вышеуказанного значения Firefox принудительно не станет использовать SSL, а только TLSv1.0 или выше, который неуязвим в отношении POODLE.

Poodle_2.jpg
CHROME

Пользователи Chrome не имеют возможности отключить поддержку SSLv3 в графическом интерфейсе самого браузера. Вместо этого вы можете добавить строку --ssl-version-min=tls1 которая принудительно вызывает использование TLS и предотвращает любые соединения, связанные с SSL. В Windows вызовите контекстное меню на ярлыке Chrome, выберите поле «Свойства» и добавьте команду, как показано на рисунке.

Poodle_3.jpg

Если вы используете Google Chrome на MAC, Linux Chrome OS или Android, Вы можете руководствоваться следующими инструкциями.

INTERNET EXPLORER

Настройка Internet Explorer также довольно несложная. Перейдите в «Settings», «Internet Options» и нажмите на вкладку «Дополнительно». Опуститесь ниже по списку, и вы увидите поле Use SSL 3.0, которое необходимо отключить.

Как проверить ваш браузер

Используя сервис Qualys SSL Client Test можно проверить, какие протоколы шифрования на данный момент поддерживает Ваш браузер.

Информация взята с сайта https://scotthelme.co.uk/ и представлена в сжатом виде. Команда SSL.com.ua выражает благодарность автору статьи.

Хотели бы получить Wildcard SSL в Украине? Мы предлагаем доступные сертификаты от центров сертификации Comodo и GeoTrust.