Серверу требуется поддержка протокола sslv3

Серверу требуется поддержка протокола sslv3

Как защитить сервер

Проще всего и надежнее избавиться от уязвимости POODLE — это отключить поддержку SSLv3 на сервере. Однако, и здесь есть некоторые оговорки. Среди множества систем существуют и такие, которые позволяют создать соединение лишь по протоколу SSLv3. Например, системы, использующие IE6 и WindowsXP без SP3 не смогут открыть сайт, лишенный поддержки SSLv3. Тем не менее, согласно информации, опубликованной на сервисе CloudFlare, полностью отключившем уязвимый протокол для всех своих пользователей, пострадает лишь незначительная часть их веб-трафика, поскольку 98.88% пользователей WindowsXP использует TLS версии 1.0 и выше.

APACHE

Для того, чтобы отключить протокол SSLv3 на веб-сервере Apache, необходимо в конфигурационном файле вебсервера и конфигурациооном файле виртуалхоста (обычно расположен в папке /etc/apache2/ или /etc/httpd/) найти следующую строку и привести ее к виду:

SSLProtocol All -SSLv2 -SSLv3

При этом TLSv1.0, TLSv1.1 и TLSv1.2 все еще будут поддерживаться, а SSLv2 и SSLv3 будут отключены. Проверяем конфигурацию Apache и перезапускаем его командами:

apachectl configtest
sudo service apache2 restart

NGINX

Деактивировать поддержку SSLv3 на NGINX также очень просто — в файлах конфигурации веб-сервера и виртуалхоста (расположены в /etc/nginx/) отредактировать строку:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Так веб-сервер сможет поддерживать TLSv1.0+ без поддержки SSL. Следующий шаг — проверика конфигурации и перезапуск NGINX:

sudo nginx -t
sudo service nginx restart

Чтобы защитить IIS необходимо отредактировать отвечающий за поддержку протокола параметр в системном реестре и перезагрузить серверы. Можно воспользоваться руководством компании Microsoft, но все что нужно — это создать/изменить значение параметра DWORD в системном реестре сервера:

Папка «Protocols» скорее всего уже содержит папку SSL 2.0; Вам необходимо будет создать папку SSL 3.0 в случае отсутствия таковой. Внутри SSL 3.0 создайте папку Server, а внутри нее — переменную DWORD со значением 0. Далее перезагрузите сервер для того, чтобы изменения вступили в силу.

Как проверить сервер

Самым легким и распространенным способом проверки конфигурации SSL является сервис Qualys SSL Test. Все, что нужно — ввести доменное имя сайта, который находится на проверяемом сервере и запустить тест.

После его завершения будет отображена комплексная информация о поддержке SSL-протоколов сервером. Нужные нам данные можно будет увидеть в разделе «Protocols», блок «Configuration».

Читайте также:  Как снять блок в автокаде

В результате проверки ожидается, что протокол SSL (обе версии) будет отключен, и вместо него рабочим останется какой-либо из протоколов TLS, более современный по сравнению с SSLv2/v3.

Как защитить вэб-браузер

Также возможно защититься от POODLE отключением поддержки протокола SSLv3 в Вашем браузере.

FIREFOX

Пользователи Firefox могут ввести about:config в адресную строку браузера и затем воспользовавшись поиском найти директиву security.tls.version.min . Ее значение нужно изменить с 0 на 1. Существующее значение («0») позволяет браузеру использовать SSLv3 где необходимо. Путем изменения вышеуказанного значения Firefox принудительно не станет использовать SSL, а только TLSv1.0 или выше, который неуязвим в отношении POODLE.

CHROME

Пользователи Chrome не имеют возможности отключить поддержку SSLv3 в графическом интерфейсе самого браузера. Вместо этого Вы можете добавить строку —ssl-version-min=tls1 которая принудительно вызывает использование TLS и предотвращает любые соединения, связанные с SSL. В Windows вызовите контекстное меню на ярлыке Chrome, выберите поле «Свойства» и добавьте команду, как показано на рисунке.

Если Вы используете Google Chrome на MAC, Linux Chrome OS или Android, Вы можете руководствоваться следующими инструкциями.

INTERNET EXPLORER

Настройка Internet Explorer также довольно несложная. Перейдите в «Settings», «Internet Options» и нажмите на вкладку «Дополнительно». Опуститесь ниже по списку, и Вы увидите поле Use SSL 3.0, которое необходимо отключить.

Как проверить ваш браузер

Используя сервис Qualys SSL Client Test можно проверить, какие протоколы шифрования на данный момент поддерживает Ваш браузер.

Информация взята с сайта https://scotthelme.co.uk/ и представлена в сжатом виде. Команда SSL.com.ua выражает благодарность автору статьи.

Хотели бы получить Wildcard SSL в Украине? Мы предлагаем доступные сертификаты от центров сертификации Comodo и GeoTrust.

Как защитить сервер

Легчайшее и лучшее решение для устранения уязвимости POODLE — это отключение поддержки SSLv3 на Вашем сервере. Однако, есть несколько оговорок. Для веб-трафика существуют системы, которые не позволят создать соединение по протколу, отличному от SSLv3. К примеру, системы, использующие IE6 и WindowsXP без SP3 не смогут открыть какой-либо сайт, который не поддерживает SSLv3. Согласно данным, опубликованным CloudFlare, который в свою очередь полностью отключил SSLv3 для всех своих пользователей, будет задета малая часть их веб-трафика, так как 98.88% пользователей WindowsXP использует TLSv1.0 и выше.

Читайте также:  Как сделать деньги на мтс

Важно: Для внесения изменений в конфигурацию сервера вам необходимо арендовать выделенный сервер или VPS. На виртуальном хостинге вы этого сделать не сможете. Однако, стоить отметить, что на всех серверах HOSTiQ данная уязвимость устранена.

APACHE

Чтобы отключить SSLv3 на Apache-сервере, необходимо в конфигурационных файлах вебсервера и виртуальных хостов, расположенных в папке /etc/apache2/ или /etc/httpd/, строку SSLProtocol привести к виду:

Таким образм протоколы TLSv1.0, TLSv1.1 и TLSv1.2 все еще поддерживатются, но SSLv2 и SSLv3 — отключаются. Далее необходимо проверить конфигурацию Apache и перезапустить его с помощью команд:

NGINX

Отключить SSLv3 на NGINX так же легко и делается это аналогичным способом. В файлах конфигурации вебсервера и виртуалхостов (они расположены в директории /etc/nginx/) редактируем нужную строку следующим образом:

Как и в случае с Apache, Вы получите поддержку TLSv1.0+ без поддержки протоколов SSL. Теперь проверяем конфигурацию и перезапускаем NGINX:

Настройка IIS потребует редактирования системного реестра и перезагрузки веб-сервера. У Microsoft есть руководство с необходимой информацией, но все, что необходимо — это создать или же отредактировать значение параметра DWORD в системном реестре сервера:

В самой папке «Protocols» скорее всего уже присутствует папка SSL 2.0 и Вам необходимо создать папку SSL 3.0, если таковая отсутствует. Внутри SSL 3.0 создайте папку Server, а внутри нее — переменную DWORD со значением 0. По завершению перезагрузите сервер для вступления изменений в силу.

Как проверить сервер

Наиболее простой и распространенный метод проверки конфигурации SSL — это сервис Qualys SSL Test. Вам необходимо только ввести доменное имя сайта, который находится на нужном веб-сервере и запустить проверку.

Результатом проверки будет комплексная информация о поддержке SSL-протокола для данного сайта. Интересующие нас данные можно увидеть в блоке «Configuration» раздела «Protocols».

В результате проверки ожидается, что все протоколы SSL будут отключены, и вместо них активным останется какой-либо из протоколов TLS, более современный по сравнению с SSLv2/v3. Если вы получаете результат “Certificate name mismatch” и полное отсутствие развернутой информации, вам необходимо сначала приобрести ССЛ-сертификаты для ваших доменов.

Как защитить вэб-браузер

Также возможно защититься от POODLE отключением поддержки протокола SSLv3 в Вашем браузере.

Читайте также:  Видеорегистратор finevu cr 2000s

FIREFOX

Пользователи Firefox могут ввести about:config в адресную строку браузера и затем воспользовавшись поиском найти директиву security.tls.version.min. Ее значение нужно изменить с 0 на 1. Существующее значение («0») позволяет браузеру использовать SSLv3 где необходимо. Путем изменения вышеуказанного значения Firefox принудительно не станет использовать SSL, а только TLSv1.0 или выше, который неуязвим в отношении POODLE.

CHROME

Пользователи Chrome не имеют возможности отключить поддержку SSLv3 в графическом интерфейсе самого браузера. Вместо этого Вы можете добавить строку

которая принудительно вызывает использование TLS и предотвращает любые соединения, связанные с SSL. В Windows вызовите контекстное меню на ярлыке Chrome, выберите поле «Свойства» и добавьте команду, как показано на рисунке.

Если Вы используете Google Chrome на MAC, Linux Chrome OS или Android, Вы можете руководствоваться следующими инструкциями.

INTERNET EXPLORER

Настройка Internet Explorer также довольно несложная. Перейдите в «Settings», «Internet Options» и нажмите на вкладку «Дополнительно». Опуститесь ниже по списку, и Вы увидите поле Use SSL 3.0, которое необходимо отключить.

Как проверить ваш браузер

Используя сервис Qualys SSL Client Test можно проверить, какие протоколы шифрования на данный момент поддерживает Ваш браузер.

Информация взята с сайта https://scotthelme.co.uk/ и представлена в сжатом виде. Команда HOSTiQ.ua выражает благодарность автору статьи.

Ищете, где зарегистрировать домен дешево? Смотрите наши предложения: у нас вы найдете, на чем сэкономить.

После обнаружения уязвимости Poodle Attack Mozilla выпускает Firefox с заблокированным по умолчанию SSLv3. Это логично так как протокол уязвим и передаваемые внутри него данные могут быть легко перехвачены. Однако SSLv3 используется и в оборудовании, например на устаревших свитчах и роутерах Cisco или на которые не оплачивается техподдержка. Обновления не приходят, а значит и SSLv3 остаётся там основным протоколом. Безусловно глупо входить в такие устройства через публичную сеть. Но если свитч находится за VPN то можно. Так вот чтобы вернуть SSLv3 в новых браузерах Firefox нужно зайти на магическую страничку about:config и там найти параметр security.tls.version.min после чего установить его значение в

  • 0 = SSL 3.0
  • 1 = минимально TLS 1.0
  • 2 = минимально TLS 1.1
Ссылка на основную публикацию
Секреты работы в word
Все секреты Word. MicrosoftWord – одна из наиболее часто используемых программ. Все мы пользуемся этим приложением, зачастую даже не зная...
С чем связана четвертая информационная революция ответ
Первая информационная революция связана с изобретением письменности, что привело к гигантскому качественному скачку: появилась возможность фиксировать знания на материальном носителе,...
Рынок бытовой техники в россии 2018
По данным исследования "INFOLine Retail Russia ТOP-100. Итоги 2017 года. Тенденции 2018 года. Прогноз до 2020 года", подготовленного специалистами INFOLine,...
Секс во время соревнований
Воздерживаться или не воздерживаться – вот в чем вопрос Джоэл Сидман, кандидат наук Вот что вам нужно знать… Влияние секса...
Adblock detector