Как защитить сервер
Проще всего и надежнее избавиться от уязвимости POODLE — это отключить поддержку SSLv3 на сервере. Однако, и здесь есть некоторые оговорки. Среди множества систем существуют и такие, которые позволяют создать соединение лишь по протоколу SSLv3. Например, системы, использующие IE6 и WindowsXP без SP3 не смогут открыть сайт, лишенный поддержки SSLv3. Тем не менее, согласно информации, опубликованной на сервисе CloudFlare, полностью отключившем уязвимый протокол для всех своих пользователей, пострадает лишь незначительная часть их веб-трафика, поскольку 98.88% пользователей WindowsXP использует TLS версии 1.0 и выше.
APACHE
Для того, чтобы отключить протокол SSLv3 на веб-сервере Apache, необходимо в конфигурационном файле вебсервера и конфигурациооном файле виртуалхоста (обычно расположен в папке /etc/apache2/ или /etc/httpd/) найти следующую строку и привести ее к виду:
SSLProtocol All -SSLv2 -SSLv3
При этом TLSv1.0, TLSv1.1 и TLSv1.2 все еще будут поддерживаться, а SSLv2 и SSLv3 будут отключены. Проверяем конфигурацию Apache и перезапускаем его командами:
apachectl configtest sudo service apache2 restart
NGINX
Деактивировать поддержку SSLv3 на NGINX также очень просто — в файлах конфигурации веб-сервера и виртуалхоста (расположены в /etc/nginx/) отредактировать строку:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
Так веб-сервер сможет поддерживать TLSv1.0+ без поддержки SSL. Следующий шаг — проверика конфигурации и перезапуск NGINX:
sudo nginx -t sudo service nginx restart
IIS
Чтобы защитить IIS необходимо отредактировать отвечающий за поддержку протокола параметр в системном реестре и перезагрузить серверы. Можно воспользоваться руководством компании Microsoft, но все что нужно — это создать/изменить значение параметра DWORD в системном реестре сервера:
HKey_Local_MachineSystemCurrentControlSetControlSecurityProviders SCHANNELProtocols
Папка «Protocols» скорее всего уже содержит папку SSL 2.0; вам необходимо будет создать папку SSL 3.0 в случае отсутствия таковой. Внутри SSL 3.0 создайте папку Server, а внутри нее — переменную DWORD со значением 0. Далее перезагрузите сервер для того, чтобы изменения вступили в силу.
Как проверить сервер
Самым легким и распространенным способом проверки конфигурации SSL является сервис Qualys SSL Test. Все, что нужно — ввести доменное имя сайта, который находится на проверяемом сервере и запустить тест.
После его завершения будет отображена комплексная информация о поддержке SSL-протоколов сервером. Нужные нам данные можно будет увидеть в разделе «Protocols», блок «Configuration».
В результате проверки ожидается, что протокол SSL (обе версии) будет отключен, и вместо него рабочим останется какой-либо из протоколов TLS, более современный по сравнению с SSLv2/v3.
Как защитить вэб-браузер
Также возможно защититься от POODLE отключением поддержки протокола SSLv3 в вашем браузере.
FIREFOX
Пользователи Firefox могут ввести about:config в адресную строку браузера и затем воспользовавшись поиском найти директиву security.tls.version.min. Ее значение нужно изменить с 0 на 1. Существующее значение («0») позволяет браузеру использовать SSLv3 где необходимо. Путем изменения вышеуказанного значения Firefox принудительно не станет использовать SSL, а только TLSv1.0 или выше, который неуязвим в отношении POODLE.
CHROME
Пользователи Chrome не имеют возможности отключить поддержку SSLv3 в графическом интерфейсе самого браузера. Вместо этого вы можете добавить строку --ssl-version-min=tls1 которая принудительно вызывает использование TLS и предотвращает любые соединения, связанные с SSL. В Windows вызовите контекстное меню на ярлыке Chrome, выберите поле «Свойства» и добавьте команду, как показано на рисунке.
Если вы используете Google Chrome на MAC, Linux Chrome OS или Android, Вы можете руководствоваться следующими инструкциями.
INTERNET EXPLORER
Настройка Internet Explorer также довольно несложная. Перейдите в «Settings», «Internet Options» и нажмите на вкладку «Дополнительно». Опуститесь ниже по списку, и вы увидите поле Use SSL 3.0, которое необходимо отключить.
Как проверить ваш браузер
Используя сервис Qualys SSL Client Test можно проверить, какие протоколы шифрования на данный момент поддерживает Ваш браузер.
Информация взята с сайта https://scotthelme.co.uk/ и представлена в сжатом виде. Команда SSL.com.ua выражает благодарность автору статьи.
Хотели бы получить Wildcard SSL в Украине? Мы предлагаем доступные сертификаты от центров сертификации Comodo и GeoTrust.