タグ付けされた質問 「poodle」

7
Poodle:サーバーでSSL V3を無効にすることは本当に解決策ですか?
私は一日中Poodleの脆弱性について読んでいましたが、今ではセキュリティと収益に対して少し混乱しています。 サーバーでSSL V3を無効にすると(ApacheではSSL V2とV3の両方が無効になります)、プロトコルをサポートしていないクライアント(ブラウザー)がSSL V3でHTTPSをサーバーに接続できません。 クライアントとサーバーの両方がTLS 1.1 1.2などと通信する必要がある状況です それらのいずれかがSSL V3を使用し、もう一方が下位バージョンをサポートしていない場合、どうなりますか?SSLへの接続なし。 Firefoxに対して行われた更新はほとんど見ていませんが、オプションで通常行わなければならないという点でSSL V3を無効にしている可能性があります。これにより、すべての接続が下位バージョンとTLSに強制されます しかし、SSL V3を無効にすることは本当にこの問題の解決策ですか?
39 linux  ssl  poodle 
8
Apache TomcatでSSLv3サポートを無効にするにはどうすればよいですか?
TLSv1のみを使用するようにApache Tomcatサーバーを再構成しようとしています。ただし、特定のブラウザーを使用してSSLv3にフォールバックしています。 次の設定で<connector>タグをセットアップします。 <Connector ... enableLookups="true" disableUploadTimeout="true" acceptCount="100" maxThreads="200" scheme="https" secure="true" SSLEnabled="true" clientAuth="false" sslProtocol="TLS" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA" sslEnabledProtocols="TLSv1" /> 構成設定が欠落しているか、存在してはならない存在がありますか?
1
POODLEを軽減するが、古いクライアントのSSLv3サポートを維持する方法
POODLE攻撃を軽減する方法はありますが、Windows XP上のIE6や電子メールクライアントなどの古いクライアントのサポートは維持します。 私はグーグルがこれを行うことに気付きました:https : //www.ssllabs.com/ssltest/analyze.html?d=mail.google.com 私はnginxとopensslを使用しています。 さらに、最新の/ほとんどのブラウザでForward Secrecyを維持したいです。ssllabsでAレーティングを維持したい。
19 nginx  ssl  poodle 
1
HTTPヘッダーを介してSSLプロトコル情報をバックエンドに渡す
Poodleの脆弱性が最近明らかにされた後、私たちのチームはSSLv3からの移行を決定しました。しかし、完全に削除する前に、ブラウザが非推奨のSSLv3を使用していることを毎日のユーザーに警告したいと考えています。だから、私たちはアイデアを思いついた フロントエンドSSLオフロードからプロトコル(SSLv3、TLS1など)を検出します(nginxを使用します) その情報(SSLプロトコル)をHTTPヘッダー経由でApache-backendに渡します。 次に、バックエンドコードがそのヘッダーを処理し、クライアントがSSLv3を使用している場合に警告を出します。 私はnginxに機能があることを知っていますproxy_set_header。したがって、これは次のように簡単になります proxy_set_header X-HTTPS-Protocol $something; 現在、問題は次のとおりです。明らかに、nginxはクライアントが使用するプロトコルを知っていますが、その情報をHTTPヘッダー経由でバックエンドに渡すにはどうすればよいですか? ありがとう SSLv3を使用している場合、同様のスレッドApacheリダイレクトユーザーが指摘したように、この考えは非常に悪い考えになります。 理由は、HTTPトラフィックがTLSトンネルを介して送信される前にTLSハンドシェイクが発生するためです。バックエンドがSSLプロトコルを検出するまでに、クライアントは最初のリクエストでプライベートデータを送信した可能性があります。永続的かつ長期的なソリューションの場合、SSLv3を無効にすることを検討する必要があります。
13 nginx  ssl  poodle 
2
SSLv3を無効にするが、まだApacheでSSLv2Helloをサポートする
多くのSSLクライアント、特にJDK 6は、SSLv2Helloプロトコルを使用してサーバーとハンドシェイクします。このプロトコルを使用しても、その点でSSL 2.0または3.0を使用しているわけではありません。単に決定するためのハンドシェイクでどの使用するプロトコル。[ http://tools.ietf.org/html/rfc5246#appendix-E.2] ただし、Apacheでは、SSLv3サポートを無効にすると、明らかにSSLv2Helloプロトコルのサポートが削除されます。Apache TomcatはSSLv2Helloを明示的にサポートしています。つまり、有効にすることはできますが、SSLv3を有効にすることはできません。 Apacheでこれを行う方法はありますか? [更新] これは私のプロトコル設定です: SSLProtocol +TLSv1 +TLSv1.1 +TLSv1.2 -SSLv3
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.