Отключить SSL на стороне сервера и клиента

Ничего на этой земле совершенного нет. И в SSLv3 нашли возможность перехватывать Secure HTTP-куки или содержимое заголовков HTTP-авторизации. Теперь нужно определиться, что с этим делать.

Во-первых можно отключить проблемный протокол на стороне нашего сервера. Для этого:

в случае apache в httpd.conf или конфиге виртуального сервера

SSLProtocol All -SSLv2 -SSLv3

в случае nginx

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

после этого stop/start сервера

После этого идем на Qualys SSL Lab и проверяем сервер. Таким образом тестирование должно подтвердить отключение SSL. Если есть возможность, то хорошо бы установить самый свежий openssl без поддержки SSL и пересобрать все ПО

Во-вторых отключить поддержку SSL протоколов на стороне браузера

в случае Firefox 

в адресной строке пишем about:config. Ищем переменную security.tls.version.min и присваиваем ей значение 1. Теперь браузер будет использовать только протоколы TLS

в случае Google-chrome

нужно в свойствах ярлыка к исполняемому файлу добавить параметр —ssl-version-min=tls1

в случае IE

Settings -> Internet Options -> Advanced -> найти пункты Use SSL3/Use SSL2 и снять с них галки

Опять идем на Qualys и проверяем поддержку протоколов в браузере. Тестирование должно подтвердить отключение протоколов SSLv2/v3

Общие рекомендации

Не использовать системный openssl, установить из портов самый последний и регулярно обновлять его и зависящее от него ПО. Сборку openssl провести без поддержкиSSLv2/v3

Переконфигурировать ПО сервера на использование безопасных протоколов TLS, если это возможно использовать TLSv1.2

Обновить браузеры до последней версии, где SSLv2/v3 по умолчанию отключены

Статьи по теме