Wyłączenie SSLv3 -> POODLE - apache2, nginx, postfix, dovecot, haproxy

Grzegorz Ciesielski

1 min read
Wyłączenie SSLv3 -> POODLE - apache2, nginx, postfix, dovecot, haproxy

Sprawdzanie czy jest aktywny SSLv3

openssl s_client -connect twoj.adres.pl:443 -ssl3

Oczywiście port 443 można wymienić na inny, dla sprawdzenia smtp lub imap

Zwrotka jak poniżej oznacza ze jest ok dla nas :)

routines:SSL3_READ_BYTES:sslv3 alert handshake failure

Można też sprawdzić działanie SSLv2/3 oraz TLS na stronie: http://foundeo.com/products/iis-weak-ssl-ciphers/test.cfm lub https://www.ssllabs.com/ssltest/

Poniżej wpisy dla aplikacji do wyłączenia SSLv3. Dodalem też dodatkowe parametry podnoszące bezpieczeństwo dla TLS, nie są one wymagane.

Apache

plik: /etc/apache2/mods-available/ssl.conf

SSLProtocol All -SSLv2 -SSLv3

Nginx

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH+aRSA+RC4:EECDH:EDH+aRSA:RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS;; #dodatkowo
ssl_prefer_server_ciphers on; #dodatkowo
ssl_stapling on; #dodatkowo
ssl_stapling_verify on; #dodatkowo
add_header Strict-Transport-Security "max-age=31536000; includeSubdomains;"; #dodatkowo

Postfix

plik: /etc/postfix/main.cf

smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3
smtpd_tls_ciphers = high #dodatkowo
smtpd_tls_exclude_ciphers =  aNULL, DES, 3DES, MD5, DES+MD5, RC4, eNULL, LOW, EXP, PSK, SRP, DSS #dodatkowo

Dovecot

plik: /etc/dovecot/conf.d/10-ssl.conf

ssl_protocols = !SSLv2 !SSLv3
ssl_cipher_list = EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH+aRSA+RC4:EECDH:EDH+aRSA:RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS;; #dodatkowo

HAproxy

plik: /etc/haproxy.cfg

bind :443 ssl crt <crt> ciphers <ciphers> no-sslv3

Oczywiście po zmainach w konfiguracji restart usłg.

Sign up for more like this.

Enter your email
Subscribe