Как защитить сервер

Легчайшее и лучшее решение для устранения уязвимости POODLE — это отключение поддержки SSLv3 на Вашем сервере. Однако, есть несколько оговорок. Для веб-трафика существуют системы, которые не позволят создать соединение по протколу, отличному от SSLv3. К примеру, системы, использующие IE6 и WindowsXP без SP3 не смогут открыть какой-либо сайт, который не поддерживает SSLv3. Согласно данным, опубликованным CloudFlare, который в свою очередь полностью отключил SSLv3 для всех своих пользователей, будет задета малая часть их веб-трафика, так как 98.88% пользователей WindowsXP использует TLSv1.0 и выше.

Важно: Для внесения изменений в конфигурацию сервера вам необходимо арендовать выделенный сервер или VPS. На виртуальном хостинге вы этого сделать не сможете. Однако, стоить отметить, что на всех серверах HOSTiQ данная уязвимость устранена.

APACHE

Чтобы отключить SSLv3 на Apache-сервере, необходимо в конфигурационных файлах вебсервера и виртуальных хостов, расположенных в папке /etc/apache2/ или /etc/httpd/, строку SSLProtocol привести к виду:

SSLProtocol All -SSLv2 -SSLv3

Таким образм протоколы TLSv1.0, TLSv1.1 и TLSv1.2 все еще поддерживатются, но SSLv2 и SSLv3 — отключаются. Далее необходимо проверить конфигурацию Apache и перезапустить его с помощью команд:

apachectl configtest
sudo service apache2 restart

NGINX

Отключить SSLv3 на NGINX так же легко и делается это аналогичным способом. В файлах конфигурации вебсервера и виртуалхостов (они расположены в директории /etc/nginx/) редактируем нужную строку следующим образом:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Как и в случае с Apache, Вы получите поддержку TLSv1.0+ без поддержки протоколов SSL. Теперь проверяем конфигурацию и перезапускаем NGINX:

sudo nginx -t
sudo service nginx restart

IIS

Настройка IIS потребует редактирования системного реестра и перезагрузки веб-сервера. У Microsoft есть руководство с необходимой информацией, но все, что необходимо — это создать или же отредактировать значение параметра DWORD в системном реестре сервера:

HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders \SCHANNEL\Protocols

В самой папке «Protocols» скорее всего уже присутствует папка SSL 2.0 и Вам необходимо создать папку SSL 3.0, если таковая отсутствует. Внутри SSL 3.0 создайте папку Server, а внутри нее — переменную DWORD со значением 0. По завершению перезагрузите сервер для вступления изменений в силу.

Poodle_1.jpg

Как проверить сервер

Наиболее простой и распространенный метод проверки конфигурации SSL — это сервис Qualys SSL Test. Вам необходимо только ввести доменное имя сайта, который находится на нужном веб-сервере и запустить проверку.

Результатом проверки будет комплексная информация о поддержке SSL-протокола для данного сайта. Интересующие нас данные можно увидеть в блоке «Configuration» раздела «Protocols».

В результате проверки ожидается, что все протоколы SSL будут отключены, и вместо них активным останется какой-либо из протоколов TLS, более современный по сравнению с SSLv2/v3. Если вы получаете результат «Certificate name mismatch» и полное отсутствие развернутой информации, вам необходимо сначала приобрести ССЛ-сертификаты для ваших доменов.

Как защитить вэб-браузер

Также возможно защититься от POODLE отключением поддержки протокола SSLv3 в Вашем браузере.

FIREFOX

Пользователи Firefox могут ввести about:config в адресную строку браузера и затем воспользовавшись поиском найти директиву security.tls.version.min. Ее значение нужно изменить с 0 на 1. Существующее значение («0») позволяет браузеру использовать SSLv3 где необходимо. Путем изменения вышеуказанного значения Firefox принудительно не станет использовать SSL, а только TLSv1.0 или выше, который неуязвим в отношении POODLE.

Poodle_2.jpg

CHROME

Пользователи Chrome не имеют возможности отключить поддержку SSLv3 в графическом интерфейсе самого браузера. Вместо этого Вы можете добавить строку

--ssl-version-min=tls1

которая принудительно вызывает использование TLS и предотвращает любые соединения, связанные с SSL. В Windows вызовите контекстное меню на ярлыке Chrome, выберите поле «Свойства» и добавьте команду, как показано на рисунке.

Poodle_3.jpg

Если Вы используете Google Chrome на MAC, Linux Chrome OS или Android, Вы можете руководствоваться следующими инструкциями.

INTERNET EXPLORER

Настройка Internet Explorer также довольно несложная. Перейдите в «Settings», «Internet Options» и нажмите на вкладку «Дополнительно». Опуститесь ниже по списку, и Вы увидите поле Use SSL 3.0, которое необходимо отключить.

Как проверить ваш браузер

Используя сервис Qualys SSL Client Test можно проверить, какие протоколы шифрования на данный момент поддерживает Ваш браузер.

Информация взята с сайта https://scotthelme.co.uk/ и представлена в сжатом виде. Команда HOSTiQ.ua выражает благодарность автору статьи.

Ищете, где зарегистрировать домен дешево? Смотрите наши предложения: у нас вы найдете, на чем сэкономить.

Возможно, вас заинтересует: Настройка SSL на Аpache.

Оцените, пожалуйста, статью:
1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (Пока оценок нет)
Загрузка...