プードル (パディング オラクルに格下げレガシ暗号化) は、攻撃者が中間の攻撃を実行することで SSLv3 プロトコルを使用して暗号化された情報を読み取ることができます 2014 年 10 月 14 日で見つかった脆弱性です。多くのクライアントを強制することができます、それは無効になる必要があります – ポイントに来ている多くのプログラムは、フォールバックとして SSLv3 を使用、SSLv3 を使用に SSLv3 にクライアントを強制的に攻撃起こるの可能性が高くなります。この資料では、一般的に今日使用される選択のソフトウェア アプリケーションで SSLv3 を無効にする方法が表示されます。
Nginx で SSLv3 を無効にします。
サーバーの情報が格納されている構成ファイルへと向かいます。たとえば、/etc/nginx/sites-enabled/ssl.example.com.conf (パスをそれに応じて交換、構成する)。ファイル内には、ssl_protocols を探します。この行が存在して次に一致するを確認します。
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
これは SSLv3 (および任意の古いまたは古いプロトコル) を無効にする、TLS の使用を強制します。次のコマンドのいずれかを実行することによって、Nginx サーバーを再起動します。
CentOS 7:
systemctl 再起動 nginx
Ubuntu/Debian の:
サービス nginx を再起動
Apache で SSLv3 を無効にします。
SSLv3、Apache のモジュール構成ディレクトリに頭を無効にします。Ubuntu/Debian の/etc/apache2/mod-available があります。一方、CentOS の/etc/httpd/conf.d であります。Ssl.conf ファイルを探します。Ssl.conf を開き、SSLProtocol ディレクティブを探します。この行が存在して次に一致するを確認します。
SSLProtocol すべて – SSLv3-SSLv2
終わったら、保存し、次のコマンドのいずれかを実行して、サーバーを再起動します。
Ubuntu/Debian を実行: の
CentOS 7:
systemctl 再起動 httpd
Ubuntu/Debian の:
サービス apache2 を再起動
後置の SSLv3 を無効にします。
後置ディレクトリへと向かいます。それは、後置/etc/。Main.cf ファイルを開くし、smtpd_tls_mandatory_protocols を探します。この行が存在して次に一致するを確認します。
smtpd_tls_mandatory_protocols =!SSLv2、!SSLv3 TLSv1、TLSv1.1、TLSv1.2
これは、TLSv1.1 と有効になり、後置サーバー上で使用が強制されます。一度完了したら、保存し、再起動します。
CentOS 7:
systemctl 再起動後置
Ubuntu/Debian の:
サービス事後添加再始動
Dovecot で SSLv3 を無効にします。
/Etc/dovecot/conf.d/10-ssl.conf にあるファイルを開きます。Ssl_protocols を含む行を検索し、次を確認してください。
ssl_protocols =!SSLv2!SSLv3 TLSv1.1 TLSv1.2
一度完了したら、保存し、Dovecot を再起動します。
CentOS 7:
systemctl 再起動 dovecot
Ubuntu/Debian の:
サービス dovecot 再起動
その SSLv3 をテストが無効になります
SSLv3 は web サーバーで無効になっていることを確認、する次のコマンドを実行 (ドメインと IP をそれに応じて置き換えます)。
openssl s_client – servername example.com-0.0.0.0:443 を接続-ssl3
次のような出力が表示されます。
CONNECTED(00000003)
140060449216160:error:14094410:SSL ルーチン: SSL3_READ_BYTES:sslv3 警告握手 failure:s3_pkt.c:1260:SSL 警告番号 40
140060449216160:error:1409E0E5:SSL ルーチン: SSL3_WRITE_BYTES:ssl ハンドシェイクの failure:s3_pkt.c:596:
—
ピア証明書が利用
—
送信クライアント CA 証明書名がありません。
—
SSL ハンド シェークが 7 バイトを読み取り、0 バイトを書かれて
—
新しい、(なし)、暗号は (なし)
セキュリティで保護されたネゴシエーションはサポート対象外
圧縮: [なし]
拡張: どれも
SSL セッション:
プロトコル: SSLv3
暗号: 0000
セッション ID:
セッションの ID-ctx:
マスター キー:
キー引数: なし
PSK のアイデンティティ: どれも
PSK の id ヒント: どれも
SRP ユーザー名: なし
開始時刻: 1414181774
タイムアウト: 7200 (秒)
リターン コードを確認してください: 0 (ok)
あなたのサーバーが TLS を使用していることを確認する場合は、ssl3 のなく – 同じコマンドを実行します。
openssl s_client – servername example.com-0.0.0.0:443 を接続
同様の情報を表示を参照してくださいする必要があります。プロトコルの行を見つけて、それが TLSv1.X を使用していることを確認 (X とされて、構成に応じて 1 または 2)。この場合は、web サーバーで SSLv3 正常に無効が。