Info Latar Belakang
SSL dirancang untuk mengamankan tingkat transportasi di internet. SSLv2 adalah yang pertama banyak digunakan protokol keamanan transportasi tapi ditemukan tidak aman tidak lama setelah. Penerus SSLv3 dan TLSv1 didukung secara luas sekarang. Menggunakan TLSv1.1 dan TLSv1.2 lebih baru dan mendapatkan banyak dukungan juga. Kebanyakan jika tidak semua web browser dilepaskan dari 2014 memiliki dukungan untuk itu.

Baru-baru ini oleh para insinyur Google menunjukkan bahwa SSLv3 tidak boleh digunakan lagi (seperti SSLv2 sudah ditinggalkan lama). Klien yang tidak akan dapat terhubung ke situs / layanan yang mungkin sangat sangat terbatas. CloudFlare mengumumkan bahwa kurang dari 0,09% dari pengunjung mereka masih mengandalkan SSLv3.

Sederhana solusi: menonaktifkan SSLv3.

Apakah Ubuntu menyediakan informasi terbaru?
Ya, melalui USN-2385-1 dengan penambahan fitur SCSV, tapi itu tidak mengurangi masalah benar-benar karena tidak menonaktifkan SSLv3 dan patch hanya akan bekerja jika kedua sisi sambungan telah ditambal. Anda akan menerima melalui update keamanan reguler di manajer paket Anda.

Jadi, masih ANDA harus mengambil tindakan sendiri untuk menonaktifkan SSLv3 (itu dikonfigurasi). Versi mendatang dari klien / browser akan menonaktifkan SSLv3 kemungkinan besar. Misalnya Firefox 34 telah melakukannya.

Mengapa update SCSV di OpenSSL melalui USN-2385-1 tidak mengurangi masalah?
POODLE menunjukkan bahwa SSLv3 dengan cipher CBC rusak, menerapkan SCSV tidak mengubah itu. SCSV hanya memastikan Anda tidak downgrade dari beberapa protokol TLS untuk lebih rendah protokol TLS / SSL yang diperlukan dengan Man-in-the-Tengah attack yang dibutuhkan untuk kasus-kasus biasa.

Jika Anda harus mengakses beberapa server yang yang tidak menawarkan TLS sama sekali, tetapi hanya SSLv3, maka browser Anda tidak benar-benar punya pilihan dan harus berbicara ke server menggunakan SSLv3, yang kemudian rentan tanpa serangan downgrade.

Jika Anda harus mengakses beberapa server yang yang menawarkan TLSv1 + dan SSLv3 juga (yang tidak disarankan) dan Anda ingin memastikan koneksi Anda tidak akan diturunkan ke SSLv3 oleh seorang penyerang, maka kedua server dan klien perlu SCSV patch ini.

Untuk benar-benar mengurangi masalah yang pelumpuhan SSLv3 akhir Anda cukup dan Anda dapat yakin Anda tidak akan diturunkan. Dan Anda tidak akan dapat berbicara dengan untuk SSLv3-satunya server.

Oke, jadi bagaimana saya menonaktifkan SSLv3?
Lihat di bawah di bagian tertentu aplikasi: Firefox, Chrome, Apache, Nginx dan Postfix ditutupi untuk saat ini.

Hanya server atau juga klien yang terkena dampak?
Kerentanan yang ada jika kedua server dan klien menerima SSLv3 (bahkan jika keduanya mampu TLSv1 / menggunakan TLSv1.1 / TLS1.2 karena serangan downgrade).

Sebagai admin server Anda harus menonaktifkan SSLv3 sekarang untuk keamanan pengguna Anda.

Sebagai pengguna, Anda harus menonaktifkan SSLv3 di browser Anda sekarang untuk mengamankan diri ketika mengunjungi situs yang masih mendukung SSLv3.

Menguji OpenSSL s_client:

openssl s_client -connect <server>:<port> -ssl3

Jika koneksi berhasil, SSLv3 diaktifkan. Jika gagal, itu dinonaktifkan. Ketika gagal, anda akan melihat sesuatu seperti:

error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure

Menggunakan nmap :

nmap --script ssl-enum-ciphers -p 443 myhostname.tld

Seharusnya output ‘ SSLv3: cipher yang didukung ditemukan ‘. Sesuaikan untuk hostname / port.

Menggunakan cipherscan . Clone / download biner dan menjalankannya:

./cipherscan myhostname.tld

Seharusnya tidak daftar apa-apa dengan SSLv3 di bawah kolom ‘protokol’.

Browser Firefox
Terbuka about: config , cari security.tls.version.min dan atur nilainya menjadi 1 . Kemudian restart browser Anda untuk menjatuhkan koneksi SSL terbuka.

Firefox dari versi 34 dan seterusnya akan menonaktifkan SSLv3 secara default sehingga membutuhkan tindakan ( sumber ). Namun, pada saat menulis, 33 hanya dirilis dan 34 diatur untuk 25 November.

Google Chrome (Linux)
Edit /usr/share/applications/google-chrome.desktop berkas, misalnya

sudo nano /usr/share/applications/google-chrome.desktop

Mengedit semua baris yang dimulai dengan Exec = untuk memasukkan –ssl-versi-min = tls1 .

Misalnya baris seperti

Exec=/usr/bin/google-chrome-stable %U

menjadi

Exec=/usr/bin/google-chrome-stable --ssl-version-min=tls1 %U

Kemudian pastikan untuk sepenuhnya menutup browser (aplikasi Chrome dapat menjaga browser Anda aktif di latar belakang!).

Catatan: Anda mungkin perlu untuk mengulang ini pembaruan paket setiap google-chrome, Timpa ini .desktop berkas peluncur. Sebuah Google Chrome atau Chromium Browser dengan SSLv3 dinonaktifkan secara default belum diumumkan pada saat penulisan.

Apache HTTPD Server
Jika Anda menjalankan Apache, hanya memasukkan baris berikut di konfigurasi Anda di antara arahan SSL lainnya:

SSLProtocol All -SSLv2 -SSLv3

Sementara kau di itu, Anda mungkin ingin mempertimbangkan meningkatkan konfigurasi ciphersuite untuk webserver Anda seperti yang dijelaskan pada TLS panduan Server Mozilla . Tambahkan misalnya:

SSLCipherSuite          ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
SSLHonorCipherOrder     on
SSLCompression          off
# Read up on HSTS before you enable it (recommended)
# Header add Strict-Transport-Security "max-age=15768000"
sudo apache2ctl configtest

Dan restart server, misalnya

sudo service apache2 restart

Info lebih lanjut: dokumentasi Apache

Sekarang coba: Jika situs Anda tersedia untuk umum, mengujinya menggunakan alat Qualys ‘SSL Labs .

Server Nginx
Jika Anda menjalankan Nginx, hanya memasukkan baris berikut di konfigurasi Anda di antara arahan SSL lainnya:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Sementara kau di itu, Anda mungkin ingin mempertimbangkan meningkatkan konfigurasi ciphersuite untuk webserver Anda seperti yang dijelaskan pada TLS panduan Server Mozilla . Tambahkan misalnya:

ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_prefer_server_ciphers on;
# Read up on HSTS before you enable it (recommended)
# add_header Strict-Transport-Security max-age=15768000;

Dan restart server, misalnya

sudo service nginx Restart
Referensi: Nginx dokumentasi

Sekarang coba: Jika situs Anda adalah publik, tersedia, mengujinya menggunakan Qualys alat ‘SSL Labs .

Lighttpd webserver
Versi Lighttpd> 1.4.28 dukungan pilihan konfigurasi untuk menonaktifkan SSLv2 dan v3. Lighttpd rilis sebelum 1.4.28 memungkinkan Anda untuk menonaktifkan SSLv2 HANYA. Harap dicatat bahwa Ubuntu 12.04 LTS dan sebelumnya menginstal terbaik lighttpd v1.4.28 dan oleh karena itu memperbaiki sederhana ini tidak tersedia untuk distribusi tersebut. Karena itu perbaikan ini hanya boleh digunakan untuk versi Ubuntu lebih besar dari 12,04.

Untuk Ubuntu versi 12.04 atau Debian 6, paket lighttpd diperbarui tersedia dari repositori openSUSE: http://download.opensuse.org/repositories/server:/http/Debian_6.0

Paket ini ditujukan untuk Debian 6 (squeeze) tetapi bekerja juga pada 12,04 (tepat)

Mengedit /etc/lighttpd/lighttpd.conf untuk menambahkan baris berikut setelah ssl.engine = “mengaktifkan” direktif

ssl.use-SSLv2 = “disable”
ssl.use-SSLv3 = “disable”
Maka Anda harus me-restart layanan lighttpd dengan layanan sudo lighttpd Restart dan melakukan tes jabat tangan SSL3 seperti yang dijelaskan pada bagian sebelumnya untuk memastikan bahwa perubahan itu dilaksanakan dengan berhasil.

Diambil dari http://redmine.lighttpd.net/projects/lighttpd/wiki/Docs_SSL .

SMTP Postfix
Untuk ‘SSL oportunistik’ (kebijakan enkripsi tidak ditegakkan dan polos diterima juga), Anda tidak perlu mengubah apa pun. Bahkan SSLv2 lebih baik daripada biasa, jadi jika Anda perlu untuk mengamankan server Anda Anda harus menggunakan mode ‘SSL wajib’ pula.

Untuk mode ‘SSL wajib’ yang sudah dikonfigurasikan, hanya menambahkan / mengubah smtpd_tls_mandatory_protocols pengaturan untuk koneksi inbound dan smtp_tls_mandatory_protocols untuk koneksi outbound:

smtpd_tls_mandatory_protocols =! SSLv2,! SSLv3
smtp_tls_mandatory_protocols =! SSLv2,! SSLv3
Opsional, jika Anda ingin menonaktifkan SSLv3 untuk enkripsi oportunistik juga (meskipun itu tidak perlu seperti dijelaskan di atas), melakukannya sebagai berikut: untuk

smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3
smtp_tls_mandatory_protocols=!SSLv2,!SSLv3

dan restart Postfix:

sudo service postfix Restart
Sendmail
(Diverifikasi sunting oleh pengguna anonim, saya tidak nyaman dengan Sendmail, harap verifikasi.)

Pilihan ini dikonfigurasi dalam LOCAL_CONFIG bagian dari Anda sendmail.mc

LOCAL_CONFIG

LOCAL_CONFIG
O CipherList=HIGH
O ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE
O ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3

Tempat perlindungan merpati
Dalam Dovecot v2.1 +, tambahkan berikut ke daftar /etc/dovecot/local.conf (atau file baru di /etc/dovecot/conf.d ):

ssl_protocols =! SSLv2! SSLv3
dan restart Dovecot:

sudo service dovecot Restart
Untuk versi yang lebih tua Anda harus menambal kode sumber .

Courier-imap (imapd-ssl)
Courier-imap memungkinkan SSLv3 secara default pada Ubuntu 12.04 dan lain-lain. Anda harus menonaktifkan dan menggunakan STARTTLS bukan untuk memaksa TLS. Edit / etc / courier / imapd-ssl file konfigurasi untuk mencerminkan perubahan berikut

IMAPDSSLSTART=NO
IMAPDSTARTTLS=YES
IMAP_TLS_REQUIRED=1
TLS_PROTOCOL=TLS1
TLS_STARTTLS_PROTOCOL=TLS1
TLS_CIPHER_LIST="<take those from the Mozilla TLS Server guide!>"

HAProxy Server
SSL didukung di HAProxy> = 1.5.

Edit /etc/haproxy.cfg berkas dan menemukan Anda mengikat line. Menambahkan no-SSLv3 . Sebagai contoh:

bind: 443 ssl crt <crt> cipher <cipher> no-SSLv3
Referensi: Dokumentasi HAProxy

OpenVPN
Tampaknya tidak terpengaruh ( sumber ).

OpenVPN menggunakan TLSv1.0, atau (dengan> = 2.3.3) opsional TLSv1.2 dan dengan demikian tidak dipengaruhi oleh POODLE.

Dikutp Dari ASk.ubuntu.com