คำถามติดแท็ก poodle

7
Poodle: การปิดใช้งาน SSL V3 บนเซิร์ฟเวอร์เป็นวิธีการแก้ปัญหาจริงหรือ
ฉันอ่านมาตลอดทั้งวันเกี่ยวกับช่องโหว่ของพุดเดิ้ลและฉันสับสนเล็กน้อยในขณะนี้กับความปลอดภัยและรายได้ ถ้าฉันปิดการใช้งาน SSL V3 บนเซิร์ฟเวอร์ (SSL V2 และ V3 ทั้งคู่จะถูกปิดใช้งานสำหรับ Apache) ไคลเอนต์ (เบราว์เซอร์) ที่ไม่สนับสนุนโปรโตคอลใด ๆ แต่ SSL V3 จะไม่สามารถเชื่อมต่อ HTTPS กับเซิร์ฟเวอร์ได้ ดังนั้นจึงเป็นสถานการณ์ที่ทั้งลูกค้าและเซิร์ฟเวอร์ต้องสื่อสารกับ TLS 1.1 1.2 และอื่น ๆ หากหนึ่งในนั้นใช้ SSL V3 และอื่น ๆ ไม่รองรับรุ่นที่ต่ำกว่าจะเกิดอะไรขึ้น ไม่มีการเชื่อมต่อกับ SSL ฉันเคยเห็นการอัปเดตบางอย่างที่ทำกับ Firefox บางทีพวกเขาอาจปิดใช้งาน SSL V3 ในสิ่งที่เรามักจะต้องทำในตัวเลือก สิ่งนี้จะบังคับให้การเชื่อมต่อทั้งหมดไปยังเวอร์ชั่นที่ต่ำกว่าและ TLS แต่การปิดใช้งาน SSL V3 เป็นวิธีแก้ปัญหานี้จริงหรือ
39 linux  ssl  poodle 

8
ฉันจะปิดการใช้งาน SSLv3 ใน Apache Tomcat ได้อย่างไร
ฉันกำลังพยายามกำหนดค่าเซิร์ฟเวอร์ Apache Tomcat ใหม่ให้ใช้ TLSv1 เท่านั้น อย่างไรก็ตามมันยังคงกลับไปสู่ ​​SSLv3 โดยใช้เบราว์เซอร์บางตัว ฉันตั้งค่าแท็ก <connector> ด้วยการตั้งค่าต่อไปนี้: <Connector ... enableLookups="true" disableUploadTimeout="true" acceptCount="100" maxThreads="200" scheme="https" secure="true" SSLEnabled="true" clientAuth="false" sslProtocol="TLS" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA" sslEnabledProtocols="TLSv1" /> ฉันขาดการตั้งค่าคอนฟิเกอเรชันหรือมีของขวัญอยู่ในปัจจุบันที่ฉันไม่ควรมีอยู่หรือไม่

1
วิธีบรรเทา POODLE แต่ให้รองรับ SSLv3 สำหรับไคลเอนต์เก่า
ฉันจะลดการโจมตี POODLE ได้อย่างไร แต่ยังคงให้การสนับสนุนไคลเอ็นต์เก่าเช่น IE6 บน Windows XP หรือไคลเอนต์อีเมล ฉันสังเกตเห็นว่า Google ทำสิ่งนี้: https://www.ssllabs.com/ssltest/analyze.html?d=mail.google.com ฉันใช้ nginx และ openssl นอกจากนี้ฉันต้องการรักษาความลับส่งต่อด้วยเบราว์เซอร์ที่ทันสมัย ​​/ ส่วนใหญ่ ฉันต้องการให้คะแนน A ของฉันบน ssllabs
19 nginx  ssl  poodle 

1
การส่งข้อมูลโปรโตคอล SSL เพื่อแบ็กเอนด์ผ่านส่วนหัว HTTP
หลังจากช่องโหว่ของพุดเดิ้ลถูกเปิดเผยเมื่อเร็ว ๆ นี้ทีมของเราตัดสินใจที่จะดำเนินการต่อจาก SSLv3 แต่ก่อนที่จะกำจัดสมบูรณ์พวกเขาต้องการที่จะเตือนผู้ใช้งานในชีวิตประจำวันที่ใช้เบราว์เซอร์ของพวกเขาเลิก SSLv3 ดังนั้นเราจึงเกิดแนวคิดขึ้นมา ตรวจจับโปรโตคอล (SSLv3, TLS1 และอื่น ๆ ... ) จาก front-offloading การถ่าย SSL (เราใช้ nginx) ส่งข้อมูลนั้น (โปรโตคอล SSL) ผ่านส่วนหัว HTTP ไปยัง Apache-backend แล้วรหัสแบ็กเอนด์ของเราจะดำเนินการที่ส่วนหัวและให้คำเตือนถ้าลูกค้าใช้ SSLv3 ผมทราบว่า Nginx proxy_set_headerมีคุณสมบัติ ดังนั้นอันนี้จะง่ายเหมือน proxy_set_header X-HTTPS-Protocol $something; ตอนนี้ปัญหาคือ: เห็นได้ชัดว่า nginx รู้จักโปรโตคอลที่ลูกค้าใช้ แต่ฉันจะส่งข้อมูลนั้นเพื่อแบ็กเอนด์ผ่านส่วนหัว HTTP ได้อย่างไร ขอบคุณ ตามที่ชี้โดยผู้ใช้ Apache ที่คล้ายกันในเธรดถ้าพวกเขาใช้ SSLv3แนวคิดนี้อาจกลายเป็นความคิดที่แย่มาก เหตุผลคือการจับมือกันของ TLS …
13 nginx  ssl  poodle 

2
ปิดใช้งาน SSLv3 แต่ยังรองรับ SSLv2Hello ใน Apache
ไคลเอ็นต์ SSL จำนวนมากโดยเฉพาะอย่างยิ่ง JDK 6 ใช้โปรโตคอล SSLv2Hello เพื่อจับมือกับเซิร์ฟเวอร์ การใช้โปรโตคอลนี้ไม่ได้หมายความว่าคุณกำลังใช้ SSL 2.0 หรือ 3.0 สำหรับเรื่องนั้น มันเป็นเพียงการจับมือกันเพื่อพิจารณาว่าจะใช้โปรโตคอลใด [ http://tools.ietf.org/html/rfc5246#appendix-E.2] อย่างไรก็ตามใน Apache หากคุณปิดใช้งานการสนับสนุน SSLv3 สิ่งนี้จะลบการสนับสนุนสำหรับโปรโตคอล SSLv2Hello อย่างชัดเจน Apache Tomcat สนับสนุน SSLv2Hello อย่างชัดเจน นั่นคือคุณสามารถเปิดใช้งานได้ แต่ไม่เปิดใช้งาน SSLv3 มีวิธีการทำเช่นนี้ใน Apache หรือไม่? [Update] นี่คือการกำหนดค่าโปรโตคอลของฉัน: SSLProtocol +TLSv1 +TLSv1.1 +TLSv1.2 -SSLv3
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.