我一整天都在阅读有关贵宾犬漏洞的信息,现在我对安全性和收入感到有些困惑。
如果我在服务器上禁用 SSL V3(对于 Apache,SSL V2 和 V3 都将被禁用)客户端(浏览器)不支持任何协议,但 SSL V3 将无法将 HTTPS 与服务器连接。
所以这是客户端和服务器都必须与 TLS 1.1 1.2 等通信的情况
如果其中任何一个使用 SSL V3 而另一个不支持较低版本,那么会发生什么?没有连接到 SSL。
我见过对 Firefox 进行的更新很少,也许他们已经禁用了 SSL V3,因为我们通常在选项中必须这样做。这将强制所有连接到较低版本和 TLS
但是禁用 SSL V3 真的可以解决这个问题吗?
我正在尝试将我的 Apache Tomcat 服务器重新配置为仅使用 TLSv1。但是,它仍然使用某些浏览器回退到 SSLv3。
我使用以下设置设置了 <connector> 标签:
<Connector ...
enableLookups="true" disableUploadTimeout="true"
acceptCount="100" maxThreads="200"
scheme="https" secure="true" SSLEnabled="true"
clientAuth="false" sslProtocol="TLS" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA" sslEnabledProtocols="TLSv1" />
我是否缺少配置设置或存在一些我不应该存在的东西?
我如何减轻 POODLE 攻击,但仍保持对旧客户端的支持,例如 Windows XP 上的 IE6 或电子邮件客户端。
我注意到谷歌这样做:https : //www.ssllabs.com/ssltest/analyze.html?d=mail.google.com
我正在使用 nginx 和 openssl。
此外,我想对现代/大多数浏览器保持正向保密。我想在 ssllabs 上保持 A 级。
在最近发现 Poodle 漏洞后,我们的团队决定从 SSLv3 继续前进。但彻底清除之前,他们要提醒的日常用户,他们的浏览器使用过时的SSLv3。于是,我们萌生了这样的想法
然后我们的后端代码将处理该标头并在客户端使用 SSLv3 时发出警告。
我知道 nginx 有功能proxy_set_header。所以这个很简单
proxy_set_header X-HTTPS-Protocol $something;
现在,问题是:显然 nginx 知道客户端使用的协议,但是如何通过 HTTP 标头将该信息传递给后端?
谢谢
正如类似线程Apache redirect user 如果他们使用 SSLv3所指出的那样,这个想法可能变得非常非常糟糕。
原因是 TLS 握手发生在 HTTP 流量通过 TLS 隧道发送之前。当我们的后端检测到 SSL 协议时,客户端可能已经在他的第一个请求中发送了私有数据。对于永久和长期解决方案,我们应该考虑禁用 SSLv3。
许多 SSL 客户端,尤其是 JDK 6,使用 SSLv2Hello 协议与服务器握手。使用此协议并不能意味着你正在使用SSL 2.0或3.0为此事; 确定使用哪个协议只是一个握手。[ http://tools.ietf.org/html/rfc5246#appendix-E.2]
但是,在 Apache 中,如果禁用 SSLv3 支持,这显然会删除对 SSLv2Hello 协议的支持。Apache Tomcat 明确支持 SSLv2Hello;也就是说,您可以启用它,但不能启用 SSLv3。
有没有办法在 Apache 中做到这一点?
[更新]
这是我的协议配置:
SSLProtocol +TLSv1 +TLSv1.1 +TLSv1.2 -SSLv3
我们正在尝试在许多 Windows 服务器上禁用 SSL V3;作为其中的一部分,正在通过脚本远程更新注册表。问题是注册表更改后需要大量重新启动。有没有办法解决这个问题,是否可以在服务器上重新启动服务以在注册表更改后不再接受 SSL V3?
编辑:稍微澄清一下,这是关于“SSL V3 服务器”禁用;在 Windows 2012 R2 服务器上。
我想减轻贵宾犬的伤害。在我的 courier-imap 服务器中。我知道该怎么做。我真的很担心它会如何影响 MUA,尤其是旧的。仍有用户在 Windows XP 中使用 Outlook Express 6。是否有任何关于 MUA 将在从服务器端关闭 SSLv3 的情况下停止工作的分析?或者也许这是完全安全的行动?
我使用以下方法禁用了 Windows 2012 服务器上的 SSLv3:http : //blog.brankovucinec.com/2014/11/13/disable-the-sslv3-protocol-on-microsoft-windows-servers/
这里也有同样的事情https://support.microsoft.com/en-us/kb/187498/
但是当我通过 Internet Explorer 测试它(将高级设置设置为仅使用 SSL 3)时,我仍然可以通过 https 访问它。有什么我想念的吗?
我尝试在我的 nginx 中设置没有 SSLv3 的 SSL 证书,但 SSL 实验室说,我的服务器有 SSLv3 如何禁用它。
我的配置:
add_header Strict-Transport-Security max-age=31536000;
add_header X-Frame-Options DENY;
ssl_session_cache shared:SSL:10m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers "EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA256:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EDH+aRSA+AESGCM:EDH+aRSA+SHA256:EDH+aRSA:EECDH:!aNULL:!eNULL:!MEDIUM:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4:!SEED";
ssl_prefer_server_ciphers on;
add_header Strict-Transport-Security 'max-age=31536000; includeSubDomains';
使用https://www.poodlescan.com/我得到了网站http://ww.israelpost.co.il
This server supports the SSL v3 protocol.
使用https://www.ssllabs.com/ssltest/analyze.html?d=israelpost.co.il我得到:
Protocols
TLS 1.2 No
TLS 1.1 No
TLS 1.0 Yes
SSL 3 No
SSL 2 No
所以我的问题是我的服务器是否支持 SSL v3 协议?我已尽力禁用 SSL v3。如果 poodlescan 返回“误报”,它是否发现 SSL v3 以外的弱点并将其报告为 SSL3?请注意,服务器目前仅支持 TLS 1.0。
我还收到来自使用 IE(不是 6/xp)的客户端的呼叫,该呼叫无法通过 ssl 连接到站点,但使用 chrome 成功。
安装修复程序后:ver(64 位)(Windows/64 版本 9.0.1FP2 HF590)甚至重新生成了 SHA 256 密钥并设置了 notes.ini
DISABLE_SSLV3=1
DEBUG_UNSUPPORTED_DISABLE_SSLV3=17
还有别的事吗 ?
poodle ×10
ssl ×7
nginx ×3
windows ×2
apache-2.2 ×1
courier-imap ×1
email ×1
ibm-domino ×1
java ×1
linux ×1
openssl ×1
security ×1
tomcat ×1