Poodle：サーバーでSSL V3を無効にすることは本当に解決策ですか？

私は一日中Poodleの脆弱性について読んでいましたが、今ではセキュリティと収益に対して少し混乱しています。

サーバーでSSL V3を無効にすると（ApacheではSSL V2とV3の両方が無効になります）、プロトコルをサポートしていないクライアント（ブラウザー）がSSL V3でHTTPSをサーバーに接続できません。

クライアントとサーバーの両方がTLS 1.1 1.2などと通信する必要がある状況です

それらのいずれかがSSL V3を使用し、もう一方が下位バージョンをサポートしていない場合、どうなりますか？SSLへの接続なし。

Firefoxに対して行われた更新はほとんど見ていませんが、オプションで通常行わなければならないという点でSSL V3を無効にしている可能性があります。これにより、すべての接続が下位バージョンとTLSに強制されます

しかし、SSL V3を無効にすることは本当にこの問題の解決策ですか？

最初に、少し物事を整理しましょう。

• TLSはSSLに取って代わりました。TLS 1.0は後に登場し、SSL 3.0のアップデートです。

  TLS 1.2> TLS 1.1> TLS 1.0> SSL 3.0> SSL 2.0> SSL 1.0

• 3.0より前のSSLバージョンは、しばらくの間重大なセキュリティ上の脆弱性が知られており、最新のクライアントおよびサーバーでは無効/サポートされていません。SSL 3.0も近いうちに同じようになるでしょう。

• 現在使用されているプロトコルの中で、「Poodle」が最も深刻な影響を与えるのはSSL 3.0であり、緩和する方法はありません。仕様で許可されている一部のTLS 1.0および1.1 実装に対して同様の攻撃があります。ソフトウェアが最新であることを確認してください。

現在、「Poodle」が最新のクライアントおよびサーバーでさえリスクである理由は、フォールバックメカニズムのクライアントの実装によるものです。すべてのサーバーが最新バージョンをサポートするわけではないため、クライアントは、サーバーがサポートするバージョンが見つかるまで、最新バージョン（TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0）から順に各バージョンを試行します。これは、暗号化された通信が始まる前に発生するため、中間者（MITM）攻撃者は、サーバーがより高いバージョンをサポートしていても、ブラウザーを強制的に古いバージョンにフォールバックできます。これは、プロトコルダウングレード攻撃として知られています。

具体的には、「Poodle」の場合、クライアントとサーバーの両方がSSL 3.0をサポートしている限り、MITMの攻撃者はこのプロトコルの使用を強制できます。

したがって、SSL 3.0を無効にすると、次の2つの効果があります。

• より高いバージョンをサポートするクライアントは、脆弱なバージョンにフォールバックすることはできません（TLSフォールバックSCSVは、プロトコルダウングレード攻撃を防ぐために新しく提案されたメカニズムですが、すべてのクライアントとサーバーがまだサポートしているわけではありません）。これがSSL 3.0を無効にする理由です。クライアントの大半はこのカテゴリに分類される可能性が高く、これは有益です。

• TLSをまったくサポートしていないクライアント（他の人が述べているように、XP上のIE6がHTTPSに使用されている唯一のものである）は、暗号化された接続を介してまったく接続できません。これはおそらくユーザーベースのごく一部であり、この少数派に対応するために最新の多数派のセキュリティを犠牲にする価値はありません。

あなたの評価は正しいです。SSL 3を無効にすると、クライアントは新しいプロトコルを使用してサーバーに接続する必要があります。SSL3プロトコルには欠陥があり、「パッチ」はありません。SSL 3を無効にすることが唯一の解決策です。

この時点で、多くのサイトがSSL 3を無効にしているため、古いブラウザーのユーザーがアップグレードする必要があるのは事実上避けられません。ユーザーエージェント文字列を記録していると仮定すると、ログを確認し、SSL 3を無効にすることについて十分な情報に基づいた決定を下すことができます。

[fwiw-cloudflareは、SSLv3に依存するIE6 XPユーザーであるユーザーの1.12％を報告しています]

はい、SSL3を無効にすると、TLSをサポートしていないユーザーがWebサイトにアクセスできなくなります。

ただし、実用的な観点からは、そのカテゴリーに属するブラウザーを調べてください。ChromeとFirefoxは両方ともTLSをサポートしており、このバグのためにSSL3サポートを完全に廃止する予定です。IEはIE7以降サポートしています。サポートされていないが、まだ世界規模で使用されている唯一のブラウザはIE6であり、まだ使用されている唯一の理由は2つの理由です。

1. クラックされたバージョンのXPをお持ちで、ChromeまたはFirefoxを使用できない方。
2. ブラウザの選択に関して制限のある企業または政府のポリシーに基づいている人。

どちらの場合も、元のインストールに付属するデフォルトのWindows XPブラウザーであるIE6が使用されます。さらに、IE6がまだ（小さな）世界市場シェアを持っている唯一の理由は、中国の多くのユーザーがいるためです。

要するに、3つの質問があります。

1. 重要な中国のユーザーベースはありますか？
2. あなたのウェブサイトは、時代遅れで壊れているにもかかわらず、IE6をサポートしていますか？
3. あなたのウェブサイトは、ブラウザの選択に制限がある政府または企業によって使用されている製品ですか？

これら3つのいずれかが当てはまる場合は、別の解決策を見つける必要があります。3つすべてがfalseの場合は、無効にして終了します。また、別のソリューションが必要な場合は、IE6を使用して13年前のブラウザーから切り替えるユーザーベースのごく一部を納得させるのが一番難しいでしょうか。

質問で「Apache」と「browsers」に言及していますが、タイトルはより一般的です。

Evanと他の人が指摘しているように、この問題はHTTPS以外ではほとんど分類されていません。しかし、サーバーが暗号化する可能性のある他のプロトコルがいくつかあり、TLSサポートはそのクライアントベースの間ではるかに貧弱です（今朝、IMAP / Sサーバーで「SSL3なし」を義務付けたときにわかりました）。

ですから、答えは「暗号化するサービスと、ユーザーベースでのTLSのクライアントサポートに依存する」ということです。

編集：はい、それは私のポイントでしたが、あなたが同意してくれてうれしいです。sslv3の無効化は、サービスごとに行われます。たとえば、dovecotでそれをオフにする方法は、

ssl_cipher_list = ALL:!LOW:!SSLv2:!SSLv3:!EXP:!aNULL

でdovecot.conf。より大きな問題は、ほとんどのブラウザがsslv3の損失を許容する一方で、他のサービスのクライアントは許容度がはるかに低いように見えることです。今朝、dovecotでそれをオフにしたときに、ユーザーの約半分を壊しました。Win9でK-9メールとOutlookを実行しているAndroidフォンは確かに2つありますが、ログからもっと多くのことがわかります。

SSLv3をオフにすることは、依然として有効なソリューションであるだけでなく、唯一のソリューションです。しかし、それは痛いです。

編集2：davecotでSSLv3暗号を無効にすると、SSLv3プロトコルだけでなくTLSv1.0とTLSv1.1も無効になることを指摘してくれたdave_thompson_085に感謝します。以前のプロトコルにはない暗号がないためです。Dovecot（少なくとも、私が実行しているものを含む以前のバージョン）には、暗号スイートではなくプロトコルを構成する機能が欠けているようです。これはおそらく、それを行うことが非常に多くのクライアントを壊した理由を説明しています。

SSLv3を無効にすることが最善の解決策ですが、それが唯一の解決策であることに同意しません。以下のようCloudFlareは説明する、のSSLv3の使用率は非常に低く、ほとんどの管理者はそれをオフに何の問題もないはずですので、。

SSLv3の仕様要件がある場合、Windows XPでIE6をサポートする必要がある場合、または非常に古いソフトウェアをサポートする必要がある場合、それを軽減する別の方法があります。

それを軽減し、SSLv3を維持する方法は、RC4を使用し、TLSフォールバックSCSVをサポートすることです。これはOpenSSL 1.0.1jによって提供されます。Qualysは、プードルに投稿、RC4「とは、その名の誰も言及したい特定の不安定なストリーム暗号」です。

これはgoogleがmail.google.comで行うことであり、ブログエントリでも説明しています：http : //googleonlinesecurity.blogspot.se/2014/10/this-poodle-bites-exploiting-ssl-30.html

元の質問に基づいて、会話に詳細が1つ欠けているので、それを書き留めておくことをお勧めします。TLS 1.0はSSL 3.1とも呼ばれるため、v3.0またはv3.1を実行している場合は、元のポスターである構成を確認する必要があります。

ほとんどの場合と同様に、答えは「依存する」です。TLSをサポートしない「一般的な」使用方法の唯一のブラウザはIE6です。残念ながら、さまざまなレポートによると、IE6はグローバルHTTPリクエストの数パーセントに相当する可能性があります（http://news.netcraft.com/archives/2014/10/15/googles-poodle-affects-oodles.htmlを参照） 。良いニュースは、もしあなたが北米にいれば、アメリカでは比較的珍しいことです。安全のために、wwwログからユーザーエージェントの統計を確認する必要があります。私の場合、IE6 ua指紋は非常に少なかったため、すべてテストツールからのものであると推測しました。

ssllabのテスターでWebサイトをテストして、さまざまなエージェントがどのように反応するかを確認できます。

https://www.ssllabs.com/ssltest/

TL; DR-SSLv3は無効です。長いライブTLS。