DIGIPOWER Tutorials

Trang chủ | | Danh mục bài viết yêu thích | Liên hệ | Đăng nhập Trang chủ | | Danh mục bài viết yêu thích | Liên hệ | Đăng nhập
Tìm kiếm các bài viết theo từ khoá Liệt kê theo danh mục
[Critical] Fix POODLE SSLv3 vulnerability
Chi tiết bài viết

Lần cập nhật cuối
28th of January, 2015

Ý kiến người dùng (4 Bình chọn)
100% thumbs up 0% thumbs down

Làm thế nào bạn sẽ đánh giá câu trả lời này?
có ích
không hữu ích
Thông tin về lỗi POODLE SSLv3


Disable SSLv3 on Apache

1) Mở file config SSL của Apache

1
sudo nano /etc/apache2/mods-enabled/ssl.conf

2) Tìm dòng :

1
SSLProtocol all -SSLv2

3) Thêm  “-SSLv3″ vào dòng đó để được như sau:

1
SSLProtocol all -SSLv2 -SSLv3

4) Restart lại Apache để cập nhật thay đổi:

1
sudo service apache2 restart

Disable SSLv3 on Nginx

1) Mở file cấu hình SSL cho các virtual host, thường dùng dòng “ssl_protocols” :

1
2
server@nuc:~$ grep -R ssl_protocols /etc/nginx/sites-*
/etc/nginx/sites-available/default:    ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;

2) Mở file virtual host có cấu hình SSL :

1
sudo nano /etc/nginx/sites-available/default

3) Chỉ sửa dòng “ssl_protocols” :

1
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;

4) Xoá option  “SSLv3″ :

1
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

5) Restart lại Nginx để cập nhật thay đổi:

1
sudo service nginx reload

Bonus: Disable SSLv3 on HAProxy

1) Mở file  “/etc/haproxy.cfg" và tìm dòng “bind" . Thêm vào cuối dòng  “no-sslv3". Vd:

1
bind :443 ssl crt <crt> ciphers <ciphers> no-sslv3

2) Restart lại HAProxy để cập nhật thay đổi:

1
sudo service haproxy reload

IMAP/POP3/SMTP

Nên stop toàn bộ config SSLv3 ở tất cả các ứng dụng mà Server đang sử dụng (IMAP/POP3/SMTP ..) , chẳng hạn như Courier-imap, Dovecot, Sendmail and Postfix.

Testing your server

Check lại SSL3 có còn enable hay không:

1
2
maurits@nuc:~$ openssl s_client -connect www.nginx.com:443 -ssl3 < /dev/null 2>&1 | grep New
New, (NONE), Cipher is (NONE)

Nếu vẫn còn lỗi sẽ hiện như sau:

1
2
maurits@nuc:~$ openssl s_client -connect www.google.com:443 -ssl3 < /dev/null 2>&1 | grep New
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-RC4-SHA

Hoặc sử dụng các tool check SSL . Nên kiểm tra và cập nhật cấu hình SSL ngay cả khi bạn sử dụng khác port 443 .


Các bài liên quan
Không có bài viết liên quan đã được tìm thấy.
File đính kèm
Không có File đính kèm nào được tìm thấy.

Tiếp tục

Knowledge Management