ওপেনএসএসএল পোডেলের দুর্বলতার প্রতিক্রিয়াতে কি আমাকে এসএসএলভি 3 অক্ষম করা উচিত?


8

ওপেনএসএসএল এর স্মৃতি রুটিনগুলিতে সবেমাত্র আরও একটি নতুন দুর্বলতা ঘোষণা করেছে। আপনি এটি সম্পর্কে এখানে সব পড়তে পারেন: https://www.openssl.org/news/secadv_20141015.txt

কর্মসংস্থানটি SSLv3 অক্ষম করা।

  • এটি কি আমাদের ওয়েবসাইটে এইচটিটিপিএস পুরোপুরি অক্ষম করবে?
  • কী ক্লায়েন্টরা এসএসএলভি 3 এর উপর এখনও নির্ভর করে, তাদের সমর্থন করার বিষয়ে উদ্বিগ্ন হওয়া উচিত?

3
না, অন্যথায় লোকেরা এটি করার পরামর্শ দিবে না। অবশ্যই, আপনি অনুমতিপ্রাপ্ত একমাত্র প্রোটোকল হ'ল এসএসএলভি 3, তবে এটি অস্বাভাবিক হবে।
gparent

2
নতুন সম্পাদনাগুলির সাথে, এটি এই সাইটের জন্য একেবারে বৈধ প্রশ্নে পরিণত হয়েছে এবং ডাউন-ভোটিংয়ের যোগ্য নয়। শেন ম্যাডেনের উত্তর (বর্তমানে +5 ভোট সহ) দেখায় যে এই প্রশ্নটি কতটা মূল্যবান। আর একটি সম্ভাব্য উত্তর ব্যাখ্যা করবে যে এইচটিটিপিএস এসএসএল এবং / অথবা টিএলএস ব্যবহার করতে পারে এবং দুজনের মধ্যে পার্থক্য কী।
স্টিফান লাসিউইস্কি

12
কেন এই প্রশ্নটি একটি আসন্ন সম্প্রদায়ের ইভেন্ট? = পি
প্রশ্ন ওভারফ্লো

1
প্রযুক্তিগত আলোচনার জন্য এবং কনফিগারেশন ফাইলগুলিতে এইচটিটিপিএস এবং এসএসএল বছরের পর বছর আন্ত: পরিবর্তে ব্যবহার করা হচ্ছে বিবেচনা করে, "সমস্যার সমাধানের ন্যূনতম উপলব্ধি" সহ অনেকগুলি প্রশাসক একই প্রশ্ন করতে পারে। আবার, এই প্রশ্নটি সম্পাদনার পরে বৈধ এবং পুনরায় খোলা উচিত।
স্টেফান লাসিউইস্কি

উত্তর:


21

না, এটি আপনার ওয়েবসাইটের সাথে এইচটিটিপিএস সংযোগটি ভঙ্গ করবে না; টিএলএসভি 1 (এবং আরও নতুন সংস্করণগুলি, যদি আপনার সফ্টওয়্যারটি সাম্প্রতিক পর্যায়ে থাকে) প্রায় সব ব্রাউজার (উইন্ডোজ এক্সপি-তে আই 6 এর উল্লেখযোগ্য ব্যতিক্রম সহ) এর পরিবর্তে ইতিমধ্যে ব্যবহৃত হচ্ছে।

আপনার কনফিগারেশনে যাচাই করুন যে টিএলএসভি 1 সক্ষম হয়েছে, তবে এটি প্রায় প্রতিটি সার্ভার-সাইড এসএসএল কনফিগারেশনে ডিফল্টরূপে হয়।


এছাড়াও, কিছু পুরানো কমান্ডলাইন ক্লায়েন্ট এবং পুরানো অ্যাপ্লিকেশনগুলি কেবল SSLv3 সমর্থন করে।
স্টিফান লাসিউইস্কি

1
টিএলএস আলোচনায় ব্যর্থতার অনুকরণ করে, সেই ব্রাউজারগুলিকে এসএসএলভি 3-এ ফ্যালব্যাক করতে বাধ্য করা যেতে পারে। এজন্য আপনার এসএসএলভি 3 সার্ভার-সাইডটি অক্ষম করা উচিত এবং প্রধান আপডেট ব্রাউজারগুলি পরবর্তী আপডেটগুলিতে এসএসএলভি 3 ক্লায়েন্ট-সাইডটি অক্ষম করতে স্ক্র্যাম্বল করছে। যদি আপনি সম্পূর্ণরূপে নিশ্চিত হন যে আপনাকে সেই পুরানো অ্যাপ্লিকেশনগুলিকে
কিউ

1
@ সাইপ্রিস আমি মনে করি সম্পাদনা থেকে প্রশ্নের শিরোনামে পরিবর্তন আপনাকে ফেলে দিয়েছে - "না" মূল শিরোনাম প্রশ্নের প্রতিক্রিয়া হিসাবে, যা শরীরে স্থানান্তরিত হয়েছে, এর "এটি কি আমাদের ওয়েবসাইটটিতে এইচটিটিপিএস পুরোপুরি অক্ষম করবে?" আমি এটি পরিষ্কার করার জন্য সম্পাদনা করেছি।
শেন ম্যাডেন

6

হ্যাঁ, আপনার SSLv3 অক্ষম করা উচিত। পুডল কাজ করে কারণ টিএলএস ব্যর্থ হলে ব্রাউজারগুলি এসএসএলভি 3 এর মতো পুরানো প্রোটোকল ব্যবহার করার চেষ্টা করবে। একটি এমআইটিএম এটিকে অপব্যবহার করতে পারে (যদি না নতুন টিএলএস এসসিএসভি ক্লায়েন্ট এবং সার্ভার দ্বারা সমর্থিত হয়, যা কেবল ক্রোম এটিএম সমর্থন করে)) পডল আক্রমণের বিশদ সম্পর্কে সত্যিই ভাল লেখার জন্য দেখুন: https://security.stackexchange.com/q/70719

এসএসএলভি 3 বেশ কয়েকটি উপায়ে নষ্ট হয়ে গেছে এবং সমস্যাটি মোকাবেলার সেরা উপায় হ'ল এটি অক্ষম করা, যেহেতু 15 বছর আগে এটি টিএলএস দ্বারা বহিষ্কার করা হয়েছিল। আপনি যদি কোনও ওয়েবসাইটে এসএসএলভি 3 ব্যবহার করে থাকেন এবং আপনি এক্সপি-তে আই 6 সম্পর্কে যত্নবান হন না (এক্সপি-তে আই 7 ভাল) তবে এটি অক্ষম করার জন্য আপনার নিরাপদ হওয়া উচিত।

এসএসএলভি 3 অক্ষম করার কার্যকারিতা সম্পর্কিত প্রশ্নে আলোচনা করা হচ্ছে: পুডল: সার্ভারে এসএসএল ভি 3 কে অক্ষম করা কি আসলেই একটি সমাধান?

আপনি এটির সময়ে, আপনি অন্য কোনও সমস্যা আছে কিনা তা দেখতে আপনার সাইটে একটি পরীক্ষা চালাতে চাইতে পারেন: https://www.ssllabs.com/ssltest/


শেনের উত্তর কীভাবে ভুল, সে সম্পর্কে আপনি আরও নির্দিষ্ট করে বলতে পারেন? ধন্যবাদ!
ক্রিস এস

@ ক্রিসস, আমি শেনকে ভুল বুঝেছি। ভেবেছিলেন তিনি বলেছিলেন যে আপনার কাছে টিএলএস সক্ষম থাকলে আপনি ভাল, এবং এসএসএলভি 3 অক্ষম করার দরকার নেই। সম্পাদনার পরে তার উত্তর এখন বলেছে যে এসএসএলভি 3 অক্ষম করা আপনার ওয়েবসাইটকে ভাঙ্গবে না, যা সঠিক। তবে এটি টিএলএস সমর্থন নির্বিশেষে এটিকে সক্ষম রেখে পডলকেও ঠিক করবে না। আমি এটিকে আরও স্পষ্ট করতে আমার সম্পাদনা করেছি।
সাইপ্রেস
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.