在主流浏览器中禁用 SSLv3

Question

正如问题所暗示的那样：如何禁用对 SSL 版本 3 的支持并将 TLS 版本 1 设置为支持的最低（最旧）协议以防御 POODLE。

可以使用此测试来测试浏览器。

基本上，我还没有找到 Safari 的解决方案。

Answer 1

我发表了一篇关于如何在一些最常见的浏览器和服务器平台中禁用 SSLv3 的博客：https ://scotthelme.co.uk/sslv3-goes-to-the-dogs-poodle-kills-off-protocol/

以下是关键细节。

如何保护您的服务器

POODLE 最简单、最可靠的解决方案是在您的服务器上禁用 SSLv3 支持。不过，这确实带来了一些警告。对于 Web 流量，有一些遗留系统无法与 SSLv3 以外的任何系统连接。例如，使用 IE6 和 Windows XP 安装而没有 SP3 的系统将不再能够与任何抛弃 SSLv3 的站点进行通信。根据 CloudFlare 发布的数据，他们在整个客户资产中完全禁用了 SSLv3，因为 98.88% 的 Windows XP 用户使用 TLSv1.0 或更高版本连接，因此只有一小部分网络流量会受到影响。

阿帕奇

要在 Apache 服务器上禁用 SSLv3，您可以使用以下内容进行配置。

SSLProtocol All -SSLv2 -SSLv3

这将为您提供对 TLSv1.0、TLSv1.1 和 TLSv1.2 的支持，但明确删除对 SSLv2 和 SSLv3 的支持。检查配置，然后重新启动Apache。

apachectl configtest

sudo service apache2 restart

nginx

在 NginX 上禁用 SSLv3 支持也非常简单。

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

与上面的 Apache 配置类似，您将获得 TLSv1.0+ 支持并且没有 SSL。您可以检查配置并重新启动。

sudo nginx -t

sudo service nginx restart

信息系统

这需要一些注册表调整和服务器重新启动，但仍然不是那么糟糕。Microsoft 有一篇包含所需信息的支持文章，但您需要做的就是修改/创建注册表 DWORD 值。

HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

在协议内部，您很可能已经拥有 SSL 2.0 密钥，因此如果需要，请在其旁边创建 SSL 3.0。在其下创建一个 Server 键，并在其中创建一个名为 Enabled 且值为 0 的 DWORD 值。完成后重新启动服务器以使更改生效。

如何检查您的服务器

测试与 SSL 设置有关的任何事情的最简单也可能是最广泛使用的方法是Qualys SSL 测试。只需导航到该站点，输入要测试的网站的域，然后点击提交即可开始测试。

测试完成后，您将获得一个很好的结果摘要以及页面下方的许多详细信息。具体来说，您希望查看“配置”部分中您支持的协议。

您想在这里看到的是您不支持 SSL 协议。您早就应该禁用 SSLv2.0，现在我们也刚刚删除了 SSLv3.0。支持 TLSv1.0 或更高版本足以支持绝大多数互联网用户，而不会让任何人面临不必要的风险。

如何保护您的浏览器

还可以通过在浏览器中禁用 SSLv3 支持来保护自己免受 POODLE 的侵害。这意味着即使服务器确实提供 SSLv3 支持，您的浏览器也永远不会使用它，即使在协议降级攻击期间也是如此。

火狐

Firefox 用户可以在地址栏中输入 about:config，然后在搜索框中输入 security.tls.version.min。这将调出需要从 0 更改为 1 的设置。现有设置允许 Firefox 在可用和需要时使用 SSLv3。通过更改设置，您将强制 Firefox 只使用 TLSv1.0 或更高版本，这不会受到 POODLE 的攻击。

铬合金

Chrome 用户在 GUI 中没有禁用 SSLv3 的选项，因为谷歌删除了它，因为混淆了 SSLv3 或 TLSv1 哪个更好，哪个具有更高的数值。相反，您可以添加命令行标志 --ssl-version-min=tls1 以强制使用 TLS 并防止任何使用 SSL 协议的连接。在 Windows 中，右键单击您的 Chrome 快捷方式，点击属性并添加命令行标志，如下图所示。

如果您在 Mac、Linux、Chrome OS 或 Android 上使用 Google Chrome，您可以按照此处的说明进行操作。

IE浏览器

修复 Internet Explorer 也很容易。转到“设置”、“Internet 选项”，然后单击“高级”选项卡。向下滚动，直到您看到使用 SSL 3.0 复选框并取消选中它。

如何检查您的浏览器

如果您想检查您的浏览器更改是否确实删除了 SSLv3.0 支持，您可以使用几个站点。如果您在浏览器中启用 SSLv3 的情况下访问https://zmap.io/sslv3/，您将看到我在 Chrome 中收到的警告消息，但我尚未禁用 SSLv3。为了仔细检查站点是否按预期工作，我在 Internet Explorer 中禁用了 SSLv3 支持并在那里打开了站点。在这里你可以看到不同之处。

您也可以在 Zmap 旁边尝试https://www.poodletest.com/。