Poodle (Padding Oracle On Downgraded Legacy Encryption) là một lỗ hổng đã được tìm thấy vào ngày 14 Tháng Mười năm 2014, cho phép kẻ tấn công đọc bất kỳ thông tin được mã hóa bằng cách sử dụng giao thức SSLv3 bằng cách thực hiện một cuộc tấn công man-in-the-middle. Mặc dù nhiều chương trình sử dụng SSLv3 như một dự phòng, nó đã đi đến điểm mà nó nên được vô hiệu hóa - như nhiều khách hàng có thể bị buộc phải sử dụng SSLv3. Buộc một khách hàng vào SSLv3 làm tăng cơ hội của một cuộc tấn công diễn ra. Bài viết này sẽ cho bạn thấy làm thế nào để vô hiệu hóa SSLv3 trong chọn lựa các ứng dụng phần mềm được sử dụng phổ biến hiện nay. Vô hiệu hóa SSLv3 trên Nginx Đi vào tập tin cấu hình mà thông tin máy chủ của bạn được lưu trữ. Ví dụ, /etc/nginx/sites-enabled/ssl.example.com.conf (đổi đường dẫn cho phù hợp với cấu hình của bạn). Trong tập tin, tìm kiếm ssl_protocols. Hãy chắc chắn rằng dòng này tồn tại, và phù hợp với những điều sau đây: Mã: ssl_protocols TLSv1 TLSv1.1 TLSv1.2; Điều này sẽ thực thi việc sử dụng TLS, do đó vô hiệu hóa SSLv3 (và bất kỳ giao thức cũ hoặc lỗi thời). Bây giờ khởi động lại máy chủ Nginx của bạn bằng cách chạy một trong các lệnh sau đây. CentOS 7: Mã: systemctl restart nginx Ubuntu/Debian: Mã: service nginx restart Vô hiệu hóa SSLv3 trên Apache Để vô hiệu hóa SSLv3, hướng đến thư mục cấu hình module cho Apache. Trên Ubuntu/Debian nó có thể là /etc/apache2/mod-available. Trong khi đó, trên CentOS, nó có thể nằm trong /etc/httpd/conf.d. Hãy tìm những tập tin ssl.conf. Mở ssl.conf và tìm thấy những chỉ thị SSLProtocol. Hãy chắc chắn rằng dòng này tồn tại, và phù hợp với những điều sau đây: Mã: SSLProtocol all -SSLv3 -SSLv2 Sau khi hoàn tất, lưu lại, sau đó khởi động lại máy chủ của bạn bằng cách chạy một trong các lệnh sau đây. Đối với Ubuntu/Debian chạy lệnh: CentOS 7: Mã: systemctl restart httpd Ubuntu/Debian: Mã: service apache2 restart Vô hiệu hóa SSLv3 trên Postfix Đi đến thư mục postfix của bạn. Nó thường là /etc/postfix /. Mở tập tin main.cf và tìm kiếm smtpd_tls_mandatory_protocols. Hãy chắc chắn rằng dòng này tồn tại, và phù hợp với những điều sau đây: Mã: smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, TLSv1, TLSv1.1, TLSv1.2 Điều này sẽ buộc TLSv1.1 và TLSv1.2 được kích hoạt và sử dụng trên máy chủ Postfix của bạn. Sau khi thực hiện, lưu và khởi động lại. CentOS 7: Mã: systemctl restart postfix Ubuntu/Debian: Mã: service postfix restart Vô hiệu hóa SSLv3 trên Dovecot Mở các tập tin nằm ở /etc/dovecot/conf.d/10-ssl.conf. Sau đó, tìm các dòng có chứa ssl_protocols và chắc chắn rằng nó phù hợp với những điều sau đây: Mã: ssl_protocols = !SSLv2 !SSLv3 TLSv1.1 TLSv1.2 Sau khi thực hiện, lưu và khởi động lại Dovecot. CentOS 7: Mã: systemctl restart dovecot Ubuntu / Debian: Mã: service dovecot restart Kiểm tra rằng SSLv3 bị Vô hiệu hóa Để xác minh rằng SSLv3 được vô hiệu hóa trên máy chủ web của bạn, hãy chạy lệnh sau (thay thế tên miền và IP cho phù hợp): Mã: openssl s_client -servername example.com -connect 0.0.0.0:443 -ssl3 Bạn sẽ thấy đầu ra tương tự như sau: Mã: CONNECTED(00000003) 140060449216160:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1260:SSL alert number 40 140060449216160:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:596: --- no peer certificate available --- No client certificate CA names sent --- SSL handshake has read 7 bytes and written 0 bytes --- New, (NONE), Cipher is (NONE) Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE SSL-Session: Protocol : SSLv3 Cipher : 0000 Session-ID: Session-ID-ctx: Master-Key: Key-Arg : None PSK identity: None PSK identity hint: None SRP username: None Start Time: 1414181774 Timeout : 7200 (sec) Verify return code: 0 (ok) Nếu bạn muốn xác nhận rằng máy chủ của bạn đang sử dụng TLS, chạy lệnh tương tự nhưng không có -ssl3: Mã: openssl s_client -servername example.com -connect 0.0.0.0:443 Bạn sẽ thấy thông tin tương tự như được hiển thị. Xác định vị trí các dòng giao thức và xác nhận rằng nó được sử dụng TLSv1.X (với X là 1 hoặc 2 tùy thuộc vào cấu hình của bạn). Nếu bạn thấy điều này, sau đó bạn có SSLv3 bị vô hiệu hoá thành công trên máy chủ web của bạn.