Як захистити сервер
Найпростіше і надійніше позбавитися вразливості POODLE — це вимкнути підтримку SSLv3 на сервері. Однак і тут є деякі застереження. Серед багатьох систем існують і такі, які дозволяють створити з’єднання лише за протоколом SSLv3. Наприклад, системи, що використовують IE6 та WindowsXP без SP3, не зможуть відкрити сайт, позбавлений підтримки SSLv3. Проте, згідно з інформацією, опублікованою на сервісі CloudFlare, що повністю відключив уразливий протокол для всіх своїх користувачів, постраждає лише незначна частина їхнього веб-трафіку, оскільки 98.88% користувачів Windows XP використовує TLS версії 1.0 і вище.
APACHE
Для того, щоб вимкнути протокол SSLv3 на веб-сервері Apache, необхідно в конфігураційному файлі вебсервера та конфігураційному файлі віртуалхоста (зазвичай розташований у папці /etc/apache2/ або /etc/httpd/) знайти наступний рядок і привести його до вигляду:
SSLProtocol All -SSLv2 -SSLv3
При цьому TLSv1.0, TLSv1.1 та TLSv1.2 все ще будуть підтримуватися, а SSLv2 та SSLv3 будуть відключені. Перевіряємо конфігурацію Apache і перезапускаємо його командами:
apachectl configtest sudo service apache2 restart
NGINX
Деактивувати підтримку SSLv3 на NGINX також дуже просто — у файлах конфігурації веб-сервера та віртуалхоста (розташовані в /etc/nginx/) відредагувати рядок:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
Так, веб-сервер зможе підтримувати TLSv1.0+ без підтримки SSL. Наступним кроком є перевірка конфігурації та перезапуск NGINX:
sudo nginx -t sudo service nginx restart
IIS
Щоб захистити IIS необхідно відредагувати параметр, що відповідає за підтримку протоколу, в системному реєстрі і перезавантажити сервери. Можна скористатися інструкцією компанії Microsoft, але все що потрібно — це створити/змінити значення параметра DWORD в системному реєстрі сервера:
HKey_Local_MachineSystemCurrentControlSetControlSecurityProviders SCHANNELProtocols
Папка «Protocols» скоріше за усе вже містить папку SSL 2.0; вам необхідно буде створити папку SSL 3.0 у разі відсутності такої. Усередині SSL 3.0 створіть папку Server, а всередині неї — змінну DWORD зі значенням 0. Далі перезавантажте сервер для того, щоб зміни набули чинності.
Як перевірити сервер
Найлегшим і найпоширенішим способом перевірки конфігурації SSL є сервіс Qualys SSL Test. Все, що потрібно — ввести доменне ім’я сайту, який знаходиться на сервері, що перевіряється, і запустити тест.
Після його завершення буде відображено комплексну інформацію про підтримку SSL-протоколів сервером. Потрібні дані можна буде побачити в розділі «Protocols», блок «Configuration».
В результаті перевірки очікується, що протокол SSL (обидві версії) буде відключений, і замість нього робітникам залишиться якийсь із протоколів TLS, більш сучасний, ніж SSLv2/v3.
Як захистити веб-браузер
Також можливо захиститись від POODLE відключенням підтримки протоколу SSLv3 у вашому браузері.
FIREFOX
Користувачі Firefox можуть ввести about:config
в адресний рядок браузера і скориставшись пошуком знайти директиву security.tls.version.min
. Її значення потрібно змінити з 0 на 1. Існуюче значення («0») дозволяє браузеру використовувати SSLv3, де необхідно. Шляхом зміни вищезазначеного значення Firefox примусово не використовуватиме SSL, а тільки TLSv1.0 або вище, який невразливий щодо POODLE.
CHROME
Користувачі Chrome не можуть відключити підтримку SSLv3 у графічному інтерфейсі самого браузера. Натомість ви можете додати рядок --ssl-version-min=tls1
який примусово викликає використання TLS і запобігає будь-яким з’єднанням, пов’язаним з SSL. У Windows викличте контекстне меню на ярлику Chrome, виберіть поле Властивості і додайте команду, як показано на малюнку.
Якщо ви використовуєте Google Chrome на Mac OS, Linux Chrome OS або Android, ви можете керуватися наступними інструкціями.
INTERNET EXPLORER
Налаштування Internet Explorer також досить нескладне. Перейдіть до «Settings», «Internet Options» і натисніть на вкладку «Додатково». Опустіться нижче за списком, і ви побачите поле Use SSL 3.0,
яке потрібно вимкнути.
Як перевірити ваш браузер
Використовуючи сервіс Qualys SSL Client Test, можна перевірити, які протоколи шифрування на даний момент підтримує ваш браузер.
Інформація взята з сайту https://scotthelme.co.uk/ та представлена у стислому вигляді. Команда SSL.com.ua висловлює подяку автору статті.
Чи хотіли б отримати Wildcard SSL в Україні? Ми пропонуємо доступні сертифікати від центрів сертифікації Comodo та GeoTrust.