it-swarm.com.de

Erzwingen Sie eine Verbindung über SSL3, um die POODLE-Sicherheitsanfälligkeit zu erkennen

Ich habe mich über die POODLE-Sicherheitslücke informiert. Nach meinem Verständnis und um mich zu korrigieren, wenn ich falsch liege, müssen Sie zulassen, dass Verbindungen über SSLv3 auf dem Server hergestellt werden.

Der Server, auf dem ich derzeit arbeite, verwendet in den von mir getesteten Browsern standardmäßig TLS 1.0, aber ich bin nicht sicher, ob die Verbindung auf SSL 3.0 heruntergestuft wird, wenn der Client danach fragt.

Gibt es eine Möglichkeit in Chrome oder einem anderen Browser, die Verwendung von SSL 3.0 zu erzwingen? Ich möchte lediglich testen, ob meine Site (s) eine Verbindung über SSL 3.0 zulassen oder nicht.

10
Kami

Es spielt nicht unbedingt eine Rolle, was Ihr Server standardmäßig verwendet. Die meisten Server und Clients sind so konfiguriert, dass sie das höchste verfügbare Protokoll aushandeln. Ein Hauptaspekt des POODLE-Angriffs ist, dass ein Angreifer in einem höheren (nicht anfälligen) Protokoll Verbindungsfehler verursachen und das Opfer auf SSL3 herabstufen kann. Dann Sie können die Sicherheitsanfälligkeit in SSL 3 ausnutzen.

Quelle: http://googleonlinesecurity.blogspot.co.uk/2014/10/this-poodle-bites-exploiting-ssl-30.html

Der Client muss also nicht verlangen, dass die Verbindung herabgestuft wird - ein Angreifer mit Zugriff auf den Netzwerkverkehr kann dies tun. Jeder Client, der unterstützt SSL 3, ist möglicherweise anfällig (wenn der Server dies auch tut und SCSV nicht an beiden Enden aktiviert ist ).

Ja, in den meisten Browsern können Sie SSL/TLS-Versionen deaktivieren. In einigen Fällen können Sie auch neuere Protokolle deaktivieren.

  • In Internet Explorer können Sie SSL/TLS-Protokolle über Internetoptionen> Erweitert deaktivieren.
  • In FireFox können Sie die Einstellungen security.tls.version.max und security.tls.version.min FireFox auf festlegen Wählen Sie eine bestimmte Version.
  • In Google Chrome können Sie die Befehlszeilenflags --ssl-version-max und --ssl-version-min verwenden, um eine bestimmte Protokollversion auszuwählen . Die akzeptierten Werte sind: "ssl3", "tls1", "tls1.1" oder "tls1.2". So setzen Sie Befehlszeilenflags in Chrome .

Es versteht sich von selbst, dass Sie solche Methoden normalerweise nur verwenden sollten, um alte unsichere Protokolle (wie derzeit SSL 2 und 3) zu deaktivieren.

6
itscooper

Der Firefox-Browser bietet die einfachste Möglichkeit, solche Tests über die erweiterten Einstellungen in about:config Durchzuführen.

about:config

dabei kann security.tls.version einen der folgenden Werte annehmen

  • 0 - SSLv3 (setzen Sie den Max- und Min-Wert auf diesen Wert)
  • 1 - TLSv1.0
  • 2 - TLSv1.1
  • 3 - TLSv1.2

Wenn die Website SSLv3 nicht unterstützt, sehen Sie Folgendes:

connection error

Bitte denken Sie daran, es nach Gebrauch wieder auf max 3 Und min 1 Zurückzusetzen.

3

Jede Verbindung, die auf SSL v3 Hergestellt wird und CBC Ciphers verwendet, ist anfällig für Poodle Angriffe. Browser (ältere Browser und andere Clients) verhandeln SSL, während wir darüber schreiben.

Obwohl die meisten SSL standardmäßig deaktiviert haben und nur mit TLS arbeiten.

Beachten Sie, dass es eine neue Sicherheitsanfälligkeit Poodle on TLS Gibt, über die wir in diesem Thread nicht sprechen werden.

Die einzige Möglichkeit, einen solchen Poodle on SSL - Angriff zu deaktivieren, besteht darin, SSL vollständig zu deaktivieren (Version 3 und früher). Wenn Sie SSL Version 3 für die Kompatibilität mit älteren Clients wirklich benötigen, entfernen Sie alle CBC-Verschlüsselungen aus der Liste von Cipher Suites, die der Server unterstützt.

Wenn Sie testen möchten, ob Ihre Site SSL unterstützt, können Sie SSLLabs oder Symantec CertChecker verwenden, um nur einige zu nennen.

0
Khanna111