Как защитить сервер
Самым легчайшим и лучшим решением для решения уязвимости с POODLE является отключение поддержки SSLv3 на Вашем сервере. Однако это вызовет пару оговорок. Для веб-трафика есть несколько систем, которые не позволят создать соединение ни с чем, кроме SSLv3. Например, системы, использующие IE6 и WindowsXP без SP3 не смогут открыть какой-либо сайт, который не поддерживает SSLv3. Согласно данным, опубликованным на сервисе CloudFlare, который в свою очередь полностью отключил SSLv3 для всех своих пользователей, пострадает всего-лишь малая часть их веб-трафика, поскольку 98.88% пользователей WindowsXP использует TLSv1.0 и выше.
APACHE
Для отключения SSLv3 на Apache-сервере Вам необходимо его настроить особым образом. В конифгурационных файлах вебсервера и виртуальных хостов, расположенных в /etc/apache2/ или /etc/httpd/, нужно найти параметр ‘SSLProtocol’ и отредактировать его, приведя к следующему виду:
SSLProtocol All -SSLv2 -SSLv3
Это предоставит Вам поддержку протоколов TLSv1.0, TLSv1.1 и TLSv1.2, но отключит поддержку SSLv2 и SSLv3. Проверьте конфигурацию Apache и перезапустите его командами:
apachectl configtest
sudo service apache2 restart
NGINX
Отключение SSLv3 на NGINX производится также легко. Файлы конфигурации виртуалхостов и самого вебсервера расположены в /etc/nginx/. Параметр ssl_rotocols в них должен быть слудеющим:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
Как и с конфигурацией Apache, Вы получите поддержку TLSv1.0+ без поддержки протоколов SSL. Вы можете проверить конфигурацию и перезапустить NGINX:
sudo nginx -t
sudo service nginx restart
IIS
Настройка IIS требует нескольких манипуляций в системном реестре и перезагрузку веб-сервера. У Microsoft есть руководство с необходимой информацией, но все что Вам нужно — это изменить/создать значение DWORD в Вашем системном реестре.
HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders \SCHANNEL\Protocols
Внутри папки «Protocols» скорее всего уже будет присутствовать папка SSL 2.0 и Вам необходимо создать папку SSL 3.0 при ее отсутствии. Внутри SSL 3.0 создайте папку Server, а внутри нее переменную DWORD со значением равным 0. Как только это будет сделано — перезагрузите сервер для вступления изменений в силу.
Как проверить сервер
Легчайшим и наиболее распространенным методом проверки всего, что связано с настройкой SSL является сервис Qualys SSL Test. Вам необходимо только ввести доменное имя, сайт которого находится на интересующем веб-сервере, запустить проверку и дождаться ее окончания.
Результатом проверки является комплексная информация о поддержке SSL для данного сайта. Интересующие нас результаты можно будет увидеть в блоке «Configuration» раздела «Protocols».
В результате проверки ожидается, что все протоколы SSL будут отключены и вместо них будет рабочим какой-либо протокол TLS, который является более новым в сравнении с SSLv2/v3.
Как защитить вэб-браузер
Также возможно защититься от POODLE отключением поддержки протокола SSLv3 в Вашем браузере.
FIREFOX
Пользователи Firefox могут ввести about:config
в адресную строку браузера и затем воспользовавшись поиском найти директиву security.tls.version.min.
Ее значение нужно изменить с 0 на 1. Существующее значение («0») позволяет браузеру использовать SSLv3 где необходимо. Путем изменения вышеуказанного значения Firefox принудительно не станет использовать SSL, а только TLSv1.0 или выше, который неуязвим в отношении POODLE.
CHROME
Пользователи Chrome не имеют возможности отключить поддержку SSLv3 в графическом интерфейсе самого браузера. Вместо этого Вы можете добавить строку --ssl-version-min=tls1
которая принудительно вызывает использование TLS и предотвращает любые соединения, связанные с SSL. В Windows вызовите контекстное меню на ярлыке Chrome, выберите поле «Свойства» и добавьте команду, как показано на рисунке.
Если Вы используете Google Chrome на MAC, Linux Chrome OS или Android, Вы можете руководствоваться следующими инструкциями.
INTERNET EXPLORER
Настройка Internet Explorer также довольно несложная. Перейдите в «Settings», «Internet Options» и нажмите на вкладку «Дополнительно». Опуститесь ниже по списку, и Вы увидите поле Use SSL 3.0,
которое необходимо отключить.
Как проверить ваш браузер
Используя сервис Qualys SSL Client Test можно проверить, какие протоколы шифрования на данный момент поддерживает Ваш браузер.
Информация взята с сайта https://scotthelme.co.uk/ и представлена в сжатом виде. Команда VPS.ua выражает благодарность автору статьи.