Ничего на этой земле совершенного нет. И в SSLv3 нашли возможность перехватывать Secure HTTP-куки или содержимое заголовков HTTP-авторизации. Теперь нужно определиться, что с этим делать.
Во-первых можно отключить проблемный протокол на стороне нашего сервера. Для этого:
в случае apache в httpd.conf или конфиге виртуального сервера
SSLProtocol All -SSLv2 -SSLv3
в случае nginx
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
после этого stop/start сервера
После этого идем на Qualys SSL Lab и проверяем сервер. Таким образом тестирование должно подтвердить отключение SSL. Если есть возможность, то хорошо бы установить самый свежий openssl без поддержки SSL и пересобрать все ПО
Во-вторых отключить поддержку SSL протоколов на стороне браузера
в случае Firefox
в адресной строке пишем about:config. Ищем переменную security.tls.version.min и присваиваем ей значение 1. Теперь браузер будет использовать только протоколы TLS
в случае Google-chrome
нужно в свойствах ярлыка к исполняемому файлу добавить параметр —ssl-version-min=tls1
в случае IE
Settings -> Internet Options -> Advanced -> найти пункты Use SSL3/Use SSL2 и снять с них галки
Опять идем на Qualys и проверяем поддержку протоколов в браузере. Тестирование должно подтвердить отключение протоколов SSLv2/v3
Общие рекомендации
Не использовать системный openssl, установить из портов самый последний и регулярно обновлять его и зависящее от него ПО. Сборку openssl провести без поддержкиSSLv2/v3
Переконфигурировать ПО сервера на использование безопасных протоколов TLS, если это возможно использовать TLSv1.2
Обновить браузеры до последней версии, где SSLv2/v3 по умолчанию отключены
- Системный администратор с 2000 года
- Участник Freelancehunt, Хабр Q&A, cyberforum
- Кейсы
