පසුබිම් තොරතුරු
එස්එස්එල් නිර්මාණය කර ඇත්තේ අන්තර්ජාලයේ ප්රවාහන මට්ටම සුරක්ෂිත කිරීම සඳහා ය. 'වෙබ්' හෝ HTTP සඳහා ඔබ මෙය HTTPS ලෙස දැන ගනු ඇත, නමුත් එය වෙනත් යෙදුම් ප්රොටෝකෝල සඳහාද භාවිතා කරයි. එස්එස්එල්වී 2 ප්රථම වරට බහුලව භාවිතා වන ප්රවාහන ආරක්ෂක ප්රොටෝකෝලය වන නමුත් වැඩි කල් යන්නට මත්තෙන් අනාරක්ෂිත බව සොයා ගන්නා ලදී. අනුප්රාප්තිකයන් වන SSLv3 සහ TLSv1 දැන් පුළුල් ලෙස සහාය දක්වයි. TLSv1.1 සහ TLSv1.2 නවතම ඒවා වන අතර විශාල සහයෝගයක් ද ලබා ගනී. බොහෝමයක් නොවේ නම් 2014 සිට නිකුත් කරන ලද සියලුම වෙබ් බ්රව්සර් සඳහා සහය ඇත.
ගූගල් ඉංජිනේරුවන් විසින් මෑතකදී කරන ලද සොයාගැනීමෙන් පෙන්වා දෙන්නේ SSLv3 තවදුරටත් භාවිතා නොකළ යුතු බවයි (SSLv2 බොහෝ කලකට පෙර ඉවත් කරන ලද පරිදි). ඔබේ වෙබ් අඩවියට / සේවාවට සම්බන්ධ වීමට නොහැකි සේවාදායකයින් බොහෝ විට ඉතා සීමිතය. CloudFlare නිවේදනය කළේ ඔවුන්ගේ නරඹන්නන්ගෙන් 0.09% කටත් වඩා අඩු සංඛ්යාවක් තවමත් SSLv3 මත යැපෙන බවයි.
සරල විසඳුම: SSLv3 අක්රීය කරන්න.
උබුන්ටු කිසියම් යාවත්කාලීන කිරීමක් ලබා දෙන්නේද?
ඔව්, එස්එස්එස්වී විශේෂාංගය එකතු කිරීමත් සමඟ usn-2385-1 හරහා , නමුත් එය එස්එස්එල්වී 3 අක්රීය නොකරන බැවින් එය ගැටළුව අවම නොකරයි. පැච් එක ක්රියා කරන්නේ සම්බන්ධතාවයේ දෙපැත්තටම ඇලවී ඇත්නම් පමණි. ඔබේ පැකේජ කළමණාකරුගේ නිත්ය ආරක්ෂක යාවත්කාලීන කිරීම් හරහා ඔබට එය ලැබෙනු ඇත.
ඒ නිසා, තවමත් ඔබ ආබාධිත SSLv3 (එය මානකල තියෙන්නේ) කිරීමට පියවර ඔබ ගත යුතුය. සේවාදායකයින්ගේ / බ්රව්සර් වල අනාගත අනුවාදයන් බොහෝ දුරට SSLv3 අක්රීය කරනු ඇත. උදා: ෆයර්ෆොක්ස් 34 එසේ කරනු ඇත.
ක්රියාත්මක කිරීමේ මට්ටමින් උබුන්ටු හි පෙරනිමියෙන් එස්එස්එල්වී 3 අක්රීය කිරීමෙන් එච්ටීටීපීඑස් නොවන එස්එස්එල් භාවිතය සඳහා එතරම් අවදානමක් නැති සමහර දේවල් බිඳී යනු ඇත, එබැවින් නඩත්තු කරන්නන් එසේ නොකරනු ඇති අතර මෙම SCSV පැච් පමණක් ක්රියාත්මක වේ.
Usn-2385-1 හරහා OpenSSL හි SCSV යාවත්කාලීන කිරීම ගැටළුව අවම නොකරන්නේ ඇයි?
ඇත්ත වශයෙන්ම, එවැනි ප්රශ්න ඇසීම නවතා ඡේද කිහිපයක් මඟ හැර SSLv3 අක්රීය කරන්න. ඒයි, ඔබට ඒත්තු ගැන්වීමට නොහැකි නම්, මෙන්න ඔබ යන්න:
සීබීසී කේතාංක සමඟ එස්එස්එල්වී 3 කැඩී ඇති බව පූඩ්ල් පෙන්වයි, එස්සීඑස්වී ක්රියාත්මක කිරීමෙන් එය වෙනස් නොවේ. සාමාන්ය සිද්ධීන් සඳහා අවශ්ය වන මැදපෙරදිග ප්රහාරය සමඟ අවශ්ය වන පරිදි ඔබ සමහර ටීඑල්එස් ප්රොටෝකෝලයෙහි සිට අඩු ටීඑල්එස් / එස්එස්එල් ප්රොටෝකෝලයක් දක්වා පහත හෙලීමට SCSV සහතික කරයි.
ඔබට කිසිසේත්ම ටීඑල්එස් ලබා නොදෙන, නමුත් එස්එස්එල්වී 3 පමණක් ලබා දෙන සේවාදායකයකට ප්රවේශ විය යුතු නම්, ඔබේ බ්රව්සරයට සැබවින්ම විකල්පයක් නොමැති අතර එස්එස්එල්වී 3 භාවිතා කරමින් සේවාදායකයා සමඟ කතා කළ යුතුය.
ඔබ (අධෛර්යමත් කරන) TLSv1 + සහ SSLv3 පහසුකම් සපයන සමහර සර්වර් ද ප්රවේශ ඇති, ඔබට වග බලා ගන්න, ඔබගේ සම්බන්ධතාවය SSLv3 කිරීමට ප්රහාරකයා විසින්, පසුව පහත හෙලීය කිරීමට නොහැකි විය යුතු අවශ්ය නම් දෙකම සේවාදායකය සහ සේවාදායකයාගේ අවශ්යතාවය මෙම SCSV ලප.
එස්එස්එල්වී 3 අක්රීය කිරීම ඔබේ ගැටළුව ප්රමාණවත් වන අතර ඔබ පහත හෙලනු නොලබන බවට ඔබට සහතික විය හැකිය. ඔබට SSLv3 පමණක් සේවාදායකයන් සමඟ කතා කිරීමට නොහැකි වනු ඇත.
හරි, ඉතින් මම SSLv3 අක්රීය කරන්නේ කෙසේද?
යෙදුම් විශේෂිත අංශවල පහත බලන්න: ෆයර්ෆොක්ස්, ක්රෝම්, අපාචේ, එන්ජින්ක්ස් සහ පෝස්ට්ෆික්ස් දැනට ආවරණය කර ඇත.
සේවාදායකයින්ට පමණක්ද?
සේවාදායකයා සහ සේවාදායකයා යන දෙදෙනාම SSLv3 පිළිගන්නේ නම් අවදානම පවතී (දෙකම පහත හෙලීමේ ප්රහාරයක් හේතුවෙන් TLSv1 / TLSv1.1 / TLS1.2 සඳහා හැකියාව තිබුණත්).
සේවාදායක පරිපාලකයෙකු ලෙස ඔබ දැන් ඔබේ පරිශීලකයින්ගේ ආරක්ෂාව සඳහා SSLv3 අක්රීය කළ යුතුය .
SSLv3 සඳහා තවමත් සහය දක්වන වෙබ් අඩවි වලට පිවිසීමේදී ඔබව ආරක්ෂා කර ගැනීම සඳහා පරිශීලකයෙකු ලෙස, ඔබ දැන් ඔබගේ බ්රව්සරයේ SSLv3 අක්රීය කළ යුතුය .
මෙය OpenSSL / GnuTLS / බ්රවුසරය විශේෂිතද?
නැත. එය ප්රොටෝකෝල (සැලසුම්) දෝෂයකි, ක්රියාත්මක කිරීමේ දෝෂයකි. මෙයින් අදහස් කරන්නේ ඔබට එය සැබවින්ම ඇලවිය නොහැකි බවයි (ඔබ පැරණි SSLv3 හි සැලසුම වෙනස් නොකරන්නේ නම්).
ඔව්, නව OpenSSL ආරක්ෂක නිකුතුවක් ඇත , නමුත් පහත කියවන්න ( නමුත් මට ඇත්ත වශයෙන්ම SSLv3 සහාය අවශ්යයි ... හේතුව X, Y, Z! ) ඔබ SSLv3 අක්රීය කිරීම කෙරෙහි වැඩි අවධානයක් යොමු කරන්නේ මන්ද යන්න පිළිබඳව.
ජාල (ෆයර්වෝල්) මට්ටමින් මට SSLv3 මරා දැමිය හැකිද?
හොඳයි, ඔව්, බොහෝ විට. වැඩිදුර අදහස් සහ වැඩ සඳහා මම මෙය වෙනම බ්ලොග් සටහනක තැබුවෙමි. iptables
ඔබට භාවිතා කළ හැකි මැජික් රීතියක් අපට තිබිය හැකිය!
මගේ බ්ලොග් සටහන: POODLE සඳහා iptables භාවිතා කරමින් ඔබේ ජාලයේ SSLv3 ඉවත් කරන්නේ කෙසේද?
එය HTTPS සඳහා පමණක්ද නැතහොත් IMAP / SMTP / OpenVPN සහ SSL සහාය ඇති වෙනත් ප්රොටෝකෝල සඳහාද අදාළද?
පර්යේෂකයන් පෙන්වා ඇති පරිදි වර්තමාන ප්රහාරක දෛශිකය, වින්දිතයාගේ යන්ත්රය මත ක්රියාත්මක වන ජාවාස්ක්රිප්ට් භාවිතයෙන් සේවාදායකයට යවන ලද සාමාන්ය පෙළ පාලනය කිරීම සමඟ ක්රියා කරයි. බ්රව්සරයක් භාවිතා නොකර HTTPS නොවන අවස්ථාවන්ට මෙම දෛශිකය අදාළ නොවේ.
එසේම, සාමාන්යයෙන් එස්එස්එල් සේවාදායකයෙක් සැසිය එස්එස්එල්වී 3 දක්වා පහත හෙලීමට ඉඩ නොදේ (ටීඑල්එස්වී 1 + අත් සේදීමේ හැකියාවන් දැක ඇති), නමුත් බ්රව්සර් අවශ්ය වන්නේ ඉතා පසුගාමී අනුකූලතාවයක් ඇති කර ගැනීමටය. සරල පෙළ පාලනය කිරීම හා HTTP ශීර්ෂයක් ගොඩනගා ඇති නිශ්චිත ක්රමය සමඟ සංයෝජනය එය සූරාකෑමට ලක් කරයි.
නිගමනය: දැන් HTTPS සඳහා SSLv3 අක්රීය කරන්න, ඔබේ ඊළඟ සේවා කවුළුව තුළ වෙනත් සේවාවන් සඳහා SSLv3 අක්රීය කරන්න.
බලපෑම කුමක්ද? මගේ සේවාදායක සහතිකය අවලංගු කර නැවත උත්පාදනය කිරීමට මට අවශ්යද? (හෘදයාංගමව මෙන්)
නැත, මේ සඳහා ඔබේ සහතික කරකැවීමට ඔබට අවශ්ය නැත. අවදානම මඟින් සැසි දත්ත වලින් සරල ප්රතිසාධනය හෙළි කරයි, එය කිසිදු රහස් සඳහා ප්රවේශය සපයන්නේ නැත (සැසි යතුර හෝ සහතික යතුර නොවේ).
සැසි පැහැරගැනීම් සිදු කිරීම සඳහා ප්රහාරකයාට බොහෝ විට හැකියාව ඇත්තේ සැසි කුකීස් වැනි සරල පෙළ ශීර්ෂ සොරකම් කිරීමට පමණි . අතිරේක බාධකයක් වන්නේ පූර්ණ (ක්රියාකාරී) MitM ප්රහාරයක අවශ්යතාවයයි .
පොදුවේ මගේ SSL වින්යාසය වැඩි දියුණු කිරීමට මට කළ හැකි වෙනත් යමක් තිබේද?
පරිශීලකයෙකු ලෙස, ඔබගේ බ්රව්සරයේ SSLv3 අක්රීය කිරීමට අමතරව, ඇත්ත වශයෙන්ම නොවේ. හොඳයි, සෑම විටම නවතම ආරක්ෂක යාවත්කාලීන කිරීම් ස්ථාපනය කරන්න.
සේවාදායකයන් සඳහා, මොසිල්ලා හි ටීඑල්එස් සේවාදායක මාර්ගෝපදේශය අනුගමනය කරන්න . හා සමග පරීක්ෂණ Qualys 'SSL ලැබ් ටෙස්ට් . ඔබේ වෙබ් අඩවියේ A + වර්ගීකරණයක් ලබා ගැනීම එතරම් අපහසු නොවේ. ඔබේ පැකේජ යාවත්කාලීන කර මොසිල්ලා හි මාර්ගෝපදේශයෙන් නිර්දේශ ක්රියාත්මක කරන්න.
නමුත් මට ඇත්තටම SSLv3 සහාය අවශ්යයි ... හේතුව X, Y, Z! දැන් මොකක්ද?
එස්එස්එල්වී 3 ෆෝල්බැක් ප්රොටෙක්ට් යනුවෙන් හැඳින්වෙන ටීඑල්එස්වී 1 දක්ෂ සේවාදායකයින්ගේ පහත හෙලීමේ ප්රහාරය වළක්වන පැච් එකක් තිබේ. එය TLSv1 + හි ආරක්ෂාව ද වැඩි දියුණු කරනු ඇත (පහත හෙලීමේ ප්රහාරය දුෂ්කර / කළ නොහැකි ය). එය උබුන්ටු ආරක්ෂක උපදේශක usn-2385-1 හි නවතම OpenSSL අනුවාදයකින් පසුපෙළක් ලෙස පිරිනමනු ලැබේ.
විශාල ඇල්ලීම: වැඩ කිරීමට සේවාදායකයින්ට සහ සේවාදායකයින්ට මෙම පැච් අවශ්ය වේ. එබැවින්, මගේ මතය අනුව ඔබ සේවාදායකයින් සහ සේවාදායකයන් යාවත්කාලීන කරන අතරතුර ඔබ කෙසේ හෝ TLSv1 + වෙත යාවත්කාලීන කළ යුතුය.
කෙසේ වෙතත්, කරුණාකර, කරුණාකර, දැනට ඔබේ ජාලයේ SSLv3 විශ්රාම ගන්න. ආරක්ෂක ප්රමිතීන් ඉහළ නැංවීමට උත්සාහ කර SSLv3 ඉවත් කරන්න.
ප්රොටෝකෝලය පහත හෙලීමේ ප්රහාරය තුරන් කිරීම සඳහා SCSV සහාය ගැන මා අසා ඇත. මට එය අවශ්යද?
කිසියම් අමුතු හේතුවක් නිසා ඔබට ඇත්ත වශයෙන්ම SSLv3 අවශ්ය නම් පමණක්, නමුත් එය TLSv1 + හි ආරක්ෂාව වැඩි දියුණු කරයි, එබැවින් ඔව්, එය ස්ථාපනය කිරීමට මම ඔබට නිර්දේශ කරමි. උබුන්ටු usn-2385-1 හි මෙම අංගය සඳහා යාවත්කාලීන කිරීමක් සපයයි . ඔබේ පැකේජ කළමණාකරුගේ නිත්ය ආරක්ෂක යාවත්කාලීන කිරීම් හරහා ඔබට එය ලැබෙනු ඇත.
පුද්ගලික සත්කාරක අඩවි සඳහා අවදානම පරීක්ෂා කිරීම (උදා: අන්තර් ජාල / නොබැඳි).
ඔබේ සේවාදායකයන් SSLv3 සඳහා සහය දක්වන්නේ නම් ඒවා අනාරක්ෂිත වේ. මෙහි විකල්ප කිහිපයක්:
OpenSSL s_client සමඟ:
openssl s_client -connect <server>:<port> -ssl3
සම්බන්ධතාවය සාර්ථක වුවහොත්, sslv3 සක්රීය වේ. එය අසමත් වුවහොත් එය අක්රීය වේ. එය අසමත් වූ විට ඔබ එවැනි දෙයක් දැකිය යුතුය:
error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure
භාවිතා කිරීම nmap
:
nmap --script ssl-enum-ciphers -p 443 myhostname.tld
එය ප්රතිදානය කළ යුතුය SSLv3: No supported ciphers found
. ඔබගේ සත්කාරක නාමය / වරාය සඳහා සකසන්න.
කේතාංක භාවිතා කිරීම . ද්විමය ක්ලෝන / බාගත කර එය ක්රියාත්මක කරන්න:
./cipherscan myhostname.tld
එය කළ යුත්තේ නොවේ ද '' ප්රොටෝකෝල තීරුව යටතේ SSLv3 සමග ලැයිස්තුව දෙයක්.
ෆයර්ෆොක්ස් බ්රව්සරය
අගය විවෘත කර about:config
, සොයාගෙන security.tls.version.min
සකසන්න 1
. විවෘත SSL සම්බන්ධතා අතහැර දැමීමට ඔබගේ බ්රව්සරය නැවත ආරම්භ කරන්න.
34 අනුවාදයේ සිට ෆයර්ෆොක්ස් පෙරනිමියෙන් SSLv3 අක්රීය කරනු ඇති අතර එමඟින් කිසිදු ක්රියාමාර්ගයක් අවශ්ය නොවේ ( ප්රභවය ). කෙසේ වෙතත්, ලිවීමේ මොහොතේදී, 33 ක් නිකුත්වී ඇති අතර 34 ක් නොවැම්බර් 25 සඳහා සූදානම් වේ.
ගූගල් ක්රෝම් (ලිනක්ස්)
/usr/share/applications/google-chrome.desktop
ගොනුව සංස්කරණය කරන්න , උදා
sudo nano /usr/share/applications/google-chrome.desktop
ඇතුළත් කිරීමට පටන් ගෙන සියලුම පේළි සංස්කරණය කරන්න .Exec=
--ssl-version-min=tls1
උදා වැනි රේඛාවක්
Exec=/usr/bin/google-chrome-stable %U
බවට පත්වේ
Exec=/usr/bin/google-chrome-stable --ssl-version-min=tls1 %U
ඉන්පසු බ්රව්සරය සම්පූර්ණයෙන්ම වසා දැමීමට වග බලා ගන්න (Chrome යෙදුම් ඔබගේ බ්රව්සරය පසුබිමේ සක්රීයව තබා ගනී!).
සටහන: මෙම .desktop
දියත් කිරීමේ ගොනුව නැවත ලියමින් ඔබට සෑම ගූගල්-ක්රෝම් පැකේජ යාවත්කාලීනයක්ම නැවත කිරීමට අවශ්ය විය හැකිය . SSLv3 පෙරනිමියෙන් අක්රිය කර ඇති ගූගල් ක්රෝම් හෝ ක්රෝමියම් බ්රව්සරයක් ලියන අවස්ථාවේදී තවම ප්රකාශයට පත් කර නොමැත.
Apache HTTPD සේවාදායකය
ඔබ දැනට SSLv3 ට ඉඩ දෙන Apache වෙබ් සේවාදායකයක් ක්රියාත්මක කරන්නේ නම්, ඔබට Apache වින්යාසය සංස්කරණය කිරීමට අවශ්ය වනු ඇත. ඩේබියන් සහ උබුන්ටු පද්ධති වල ගොනුව /etc/apache2/mods-available/ssl.conf වේ. CentOS සහ Fedora හි ගොනුව /etc/httpd/conf.d/ssl.conf වේ. වෙනත් SSL විධානයන් සමඟ ඔබේ Apache වින්යාසයට පහත පේළිය එක් කිරීමට ඔබට අවශ්ය වනු ඇත.
SSLProtocol All -SSLv2 -SSLv3
මෙය SSLv2 සහ SSLv3 හැර අනෙකුත් සියලුම ප්රොටෝකෝලයන්ට ඉඩ දෙනු ඇත.
ඔබ එහි සිටින අතරතුර, මොසිල්ලා හි ටීඑල්එස් සේවාදායක මාර්ගෝපදේශයේ විස්තර කර ඇති පරිදි ඔබේ වෙබ් සේවාදායකය සඳහා කේතාංකන වින්යාසය වැඩි දියුණු කිරීම ගැන සලකා බැලීමට ඔබට අවශ්ය විය හැකිය . උදාහරණයක් ලෙස එක් කරන්න:
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
SSLHonorCipherOrder on
SSLCompression off
# Read up on HSTS before you enable it (recommended)
# Header add Strict-Transport-Security "max-age=15768000"
නව වින්යාසය නිවැරදි දැයි පරීක්ෂා කරන්න (යතුරු ලියනය ආදිය නැත):
sudo apache2ctl configtest
සේවාදායකය නැවත ආරම්භ කරන්න, උදා
sudo service apache2 restart
CentOS සහ Fedora මත:
systemctl restart httpd
වැඩි විස්තර: අපාචේ ප්රලේඛනය
දැන් එය පරීක්ෂා කරන්න: ඔබේ වෙබ් අඩවිය ප්රසිද්ධියේ තිබේ නම්, Qualys හි SSL Labs මෙවලම භාවිතයෙන් එය පරීක්ෂා කරන්න .
Nginx සේවාදායකය
ඔබ Nginx ධාවනය කරන්නේ නම්, අනෙක් SSL විධානයන් අතර ඔබේ වින්යාසය තුළ පහත පේළිය ඇතුළත් කරන්න:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ඔබ එහි සිටින අතරතුර, මොසිල්ලා හි ටීඑල්එස් සේවාදායක මාර්ගෝපදේශයේ විස්තර කර ඇති පරිදි ඔබේ වෙබ් සේවාදායකය සඳහා කේතාංකන වින්යාසය වැඩි දියුණු කිරීම ගැන සලකා බැලීමට ඔබට අවශ්ය විය හැකිය . උදාහරණයක් ලෙස එක් කරන්න:
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_prefer_server_ciphers on;
# Read up on HSTS before you enable it (recommended)
# add_header Strict-Transport-Security max-age=15768000;
සේවාදායකය නැවත ආරම්භ කරන්න, උදා
sudo service nginx restart
යොමුව: Nginx ප්රලේඛනය
දැන් එය පරීක්ෂා කරන්න: ඔබේ වෙබ් අඩවිය ප්රසිද්ධියේ තිබේ නම්, ක්වාලිස්ගේ එස්එස්එල් ලැබ් මෙවලම භාවිතයෙන් එය පරීක්ෂා කරන්න .
Lighttpd වෙබ් සේවාදායකය
Lighttpd අනුවාදයන්> 1.4.28 SSLv2 සහ v3 අක්රීය කිරීමට වින්යාස කිරීමේ විකල්පයකට සහය දක්වයි. 1.4.28 ට පෙර Lighttpd නිකුතුව මඟින් SSLv2 පමණක් අක්රීය කිරීමට ඉඩ ලබා දේ. උබුන්ටු 12.04 LTS සහ ඊට පෙර හොඳම lighttpd v1.4.28 හි ස්ථාපනය කර ඇති බව කරුණාවෙන් සලකන්න. එබැවින් එම බෙදාහැරීම් සඳහා සරල විසඳුමක් ලබා ගත නොහැක. එබැවින් මෙම නිවැරදි කිරීම භාවිතා කළ යුත්තේ 12.04 ට වඩා වැඩි උබුන්ටු අනුවාද සඳහා පමණි.
උබුන්ටු අනුවාදය 12.04 හෝ ඩේබියන් 6 සඳහා, යාවත්කාලීන කරන ලද ලයිට්පීඩී පැකේජයක් විවෘත සූස් ගබඩාවෙන් ලබා ගත හැකිය:
http://download.opensuse.org/repositories/server:/http/Debian_6.0
පැකේජය ඩේබියන් 6 (මිරිකීම) සඳහා අදහස් කර ඇති නමුත් 12.04 (නිරවද්ය) මත ද ක්රියා කරයි
ඔබගේ සංස්කරණය /etc/lighttpd/lighttpd.conf
පසු පහත සඳහන් මාර්ග එකතු කිරීමට ssl.engine = "enable"
උපදෙස්
ssl.use-sslv2 = "disable"
ssl.use-sslv3 = "disable"
sudo service lighttpd restart
වෙනස සාර්ථකව ක්රියාත්මක කර ඇති බවට වග බලා ගැනීම සඳහා ඔබ කලින් කොටස්වල විස්තර කර ඇති පරිදි ලයිට්පීඩී සේවාව නැවත ආරම්භ කර එස්එස්එල් 3 අත් සේදීමේ පරීක්ෂණයක් කළ යුතුය.
Http://redmine.lighttpd.net/projects/lighttpd/wiki/Docs_SSL වෙතින් ලබාගෙන ඇත.
Postfix SMTP
'අවස්ථාවාදී එස්එස්එල්' සඳහා (සංකේතාංකන ප්රතිපත්තිය බලාත්මක නොවන අතර සරල ද පිළිගත හැකිය), ඔබට කිසිවක් වෙනස් කිරීමට අවශ්ය නැත. SSLv2 පවා සාමාන්යයට වඩා හොඳයි, එබැවින් ඔබට ඔබේ සේවාදායකය සුරක්ෂිත කිරීමට අවශ්ය නම් ඔබ කෙසේ හෝ 'අනිවාර්ය SSL' මාදිලිය භාවිතා කළ යුතුය.
'අනිවාර්ය SSL' මාදිලිය දැනටමත් වින්යාස කර ඇති විට, පිටතට යන සම්බන්ධතා සඳහා smtpd_tls_mandatory_protocols සැකසුම එකතු කරන්න / වෙනස් කරන්න සහ පිටතට යන සම්බන්ධතා සඳහා smtp_tls_mandatory_protocols :
smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3
smtp_tls_mandatory_protocols=!SSLv2,!SSLv3
විකල්පයක් ලෙස, ඔබට අවස්ථාවාදී ගුප්තකේතනය සඳහා SSLv3 අක්රීය කිරීමට අවශ්ය නම් (ඉහත විස්තර කර ඇති පරිදි එය අනවශ්ය වුවද), එසේ කරන්න:
smtpd_tls_protocols=!SSLv2,!SSLv3
smtp_tls_protocols=!SSLv2,!SSLv3
Postfix නැවත ආරම්භ කරන්න:
sudo service postfix restart
සෙන්ඩ්මේල්
(නිර්නාමික පරිශීලකයෙකු විසින් සත්යාපනය නොකළ සංස්කරණය, මට සෙන්ඩ්මේල් සමඟ සැපපහසු නොවේ, කරුණාකර සත්යාපනය කරන්න.)
මෙම විකල්පයන් LOCAL_CONFIG
ඔබේ කොටසේ වින්යාස කර ඇතsendmail.mc
LOCAL_CONFIG
O CipherList=HIGH
O ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE
O ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3
ඩොව්කොට්
Dovecot v2.1 + හි, පහත සඳහන් දෑ ඔබගේ /etc/dovecot/local.conf
(හෝ නව ගොනුවක් තුළට) එක් කරන්න /etc/dovecot/conf.d
:
ssl_protocols = !SSLv2 !SSLv3
Dovecot නැවත ආරම්භ කරන්න:
sudo service dovecot restart
පැරණි අනුවාදයන් සඳහා ඔබට ප්රභව කේතය ඇලවිය යුතුය .
කුරියර්-ඉමාප් (ඉමාප්ඩ්-එස්එස්එල්)
කුරියර්-ඉමාප් විසින් උබුන්ටු 12.04 සහ වෙනත් දේවල පෙරනිමියෙන් SSLv3 ට ඉඩ දෙයි. ඔබ එය අක්රිය කර TLS බල කිරීම සඳහා STARTTLS භාවිතා කළ යුතුය. /etc/courier/imapd-ssl
පහත සඳහන් වෙනස්කම් පිළිබිඹු කිරීම සඳහා ඔබේ වින්යාස ගොනුව සංස්කරණය කරන්න
IMAPDSSLSTART=NO
IMAPDSTARTTLS=YES
IMAP_TLS_REQUIRED=1
TLS_PROTOCOL=TLS1
TLS_STARTTLS_PROTOCOL=TLS1
TLS_CIPHER_LIST="<take those from the Mozilla TLS Server guide!>"
HAProxy සේවාදායකය
SSL සඳහා HAProxy> = 1.5 හි සහය දක්වයි.
/etc/haproxy.cfg
ගොනුව සංස්කරණය කර ඔබේ bind
රේඛාව සොයා ගන්න . එකතු කරන්න no-sslv3
. උදාහරණයක් වශයෙන්:
bind :443 ssl crt <crt> ciphers <ciphers> no-sslv3
යොමුව: HAProxy ප්රලේඛනය
OpenVPN
බලපෑමට ලක් නොවන බව පෙනේ ( ප්රභවය ).
OpenVPN TLSv1.0 භාවිතා කරයි, හෝ (සමඟ> = 2.3.3) විකල්පයක් ලෙස TLSv1.2 භාවිතා කරන අතර එමඟින් POODLE මගින් බලපෑමක් සිදු නොවේ.
රූකඩ
රූකඩ HTTPS හරහා SSL භාවිතා කරන නමුත් එය 'බ්රව්සර්' සේවාදායකයින් විසින් භාවිතා නොකෙරේ, පෙන්වා ඇති ප්රහාරක දෛශිකයට ගොදුරු නොවන රූකඩ නියෝජිතයන් පමණි. කෙසේ වෙතත්, SSLv3 අක්රීය කිරීම වඩාත් සුදුසුය.
මගේ නිර්දේශය වන්නේ මා මීට කලකට පෙර එස්එස්එල්වී 3 killed ාතනය කළ ඔබේ රූකඩ මාස්ටර් සැකසීම සඳහා ස්ටෙෆෙන්ර්ජොන්සන් / රූකඩ මොඩියුලය භාවිතා කිරීමයි .