পুডল: সার্ভারে এসএসএল ভি 3 কে অক্ষম করা কি আসলেই একটি সমাধান?

39

আমি পুডল দুর্বলতা সম্পর্কে সারা দিন পড়ছি এবং এটি এখন আমি সুরক্ষা এবং রাজস্ব বনাম কিছুটা বিভ্রান্ত হয়ে পড়েছি।

যদি আমি সার্ভারে এসএসএল ভি 3 অক্ষম করি (এসএসএল ভি 2 এবং ভি 3 উভয়ই অ্যাপাচি) ক্লায়েন্ট (ব্রাউজার) এর জন্য অক্ষম করা হবে যারা কোনও প্রোটোকল সমর্থন করে না তবে এসএসএল ভি 3 সার্ভারের সাথে এইচটিটিপিএস সংযোগ করতে সক্ষম হবে না।

সুতরাং এটির পরিস্থিতি যেখানে ক্লায়েন্ট এবং সার্ভার উভয়কেই টিএলএস 1.1 1.2 এর সাথে যোগাযোগ করতে হবে

যদি তাদের মধ্যে কেউ এসএসএল ভি 3 ব্যবহার করে এবং অন্যটি নিম্ন সংস্করণগুলিকে সমর্থন না করে তবে কী ঘটে? এসএসএলে কোনও সংযোগ নেই।

আমি ফায়ারফক্সে করা কয়েকটি আপডেট দেখেছি, সম্ভবত তারা সাধারণত বিকল্পগুলির ক্ষেত্রে আমাদের যা করতে হবে তাতে এসএসএল ভি 3 অক্ষম করে দিয়েছে। এটি সমস্ত সংযোগকে নিম্ন সংস্করণ এবং টিএলএসে বাধ্য করবে

তবে এসএসএল ভি 3 কে অক্ষম করা কি এই সমস্যার সমাধান হতে পারে?

linux  ssl  poodle 
sandeep.s85
সূত্র
4
"এটি সমস্ত সংযোগকে নিম্ন সংস্করণ এবং টিএলএসে চাপিয়ে দেবে" এর অর্থ কী? SSLv1 এবং SSLv2 দীর্ঘদিন ধরে অক্ষম করা হয়েছে কারণ সেগুলি ভেঙে গেছে। এসএসএলভি 3 এর উপর ভিত্তি করে চিহ্নিত করা হয়েছে তবে বেশিরভাগ ক্ষেত্রে লিগ্যাসি সফ্টওয়্যার সমর্থন করার জন্য সক্ষম থাকা রয়েছে। আপনি নীচের সংস্করণটি উল্লেখ করছেন? TLSv1.0, v1.1, v1.2, ... পরবর্তী মানদণ্ড এবং "উচ্চতর সংস্করণ এসএসএল" হিসাবে বিবেচনা করা যেতে পারে, শুধুমাত্র সংস্করণ সংখ্যা নাম পরিবর্তনের সাথে পুনরায় সেট করা হয়েছিল।
হাকান লিন্ডকভিস্ট
হাই, তাই আমি এখন পর্যন্ত যা বুঝতে পেরেছি তা হল যদি আমি রেড হ্যাট দ্বারা প্রস্তাবিত সার্ভারে এসএসএল ভি 3 এবং ভি 2 অক্ষম করে রাখি তবে সুরক্ষিত সংযোগটি টিএলএস প্রোটোকলে থাকবে। এবং যদি ব্রাউজারগুলি সার্ভারের সাথে টিএলএসে কল করতে থাকে তবে নিরাপদ সংযোগগুলিতে কোনও সমস্যা হবে না
I আমার

উত্তর:

52

প্রথমে কিছুটা পরিষ্কার করা যাক:

  • টিএলএস এসএসএলকে ছাড়িয়ে গেছে। টিএলএস 1.0 এর পরে এসেছিল এবং এটি এসএসএল 3.0 এর আপডেট।

    টিএলএস ১.২> টিএলএস 1.1> টিএলএস 1.0> এসএসএল 3.0> এসএসএল 2.0> এসএসএল 1.0

  • 3.0 এর আগের এসএসএল সংস্করণগুলি কিছু সময়ের জন্য গুরুতর সুরক্ষা দুর্বলতাগুলি জানত এবং আধুনিক ক্লায়েন্ট এবং সার্ভারগুলি দ্বারা অক্ষম করা / সমর্থিত নয়। SSL 3.0 সম্ভবত শীঘ্রই একই পথে যাবে।

  • বর্তমানে ব্যবহৃত প্রোটোকলগুলির মধ্যে, "পুডল" সবচেয়ে মারাত্মকভাবে এসএসএল 3.0 কে প্রভাবিত করে, যেখানে প্রশমিত করার উপায় নেই। একটা হল অনুরূপ হামলা কিছু TLS 1.0 এর এবং 1.1 বিরুদ্ধে বাস্তবায়নের যে বৈশিষ্ট দেয় - আপনার সফ্টওয়্যার আপ টু ডেট নিশ্চিত করুন।

এখন, "পুডল" কারণটি আধুনিক ক্লায়েন্ট এবং সার্ভারগুলির সাথেও ঝুঁকিপূর্ণ কারণ ক্লায়েন্টদের ফ্যালব্যাক প্রক্রিয়া প্রয়োগের কারণে। সমস্ত সার্ভারগুলি সর্বশেষতম সংস্করণগুলিকে সমর্থন করবে না, তাই ক্লায়েন্টরা প্রতিটি সংস্করণ সর্বাধিক সাম্প্রতিক (টিএলএস ১.২, টিএলএস ১.১, টিএলএস ১.০, এসএসএল 3.0.০) ক্রম সমর্থন করে যতক্ষণ না এটি আবিষ্কার করে। এনক্রিপ্ট করা যোগাযোগ শুরু হওয়ার আগেই এটি ঘটে , সুতরাং ম্যান-ইন-দ্য মিডল (এমআইটিএম) আক্রমণকারী সার্ভারটি উচ্চতর সমর্থন করে এমনকি ব্রাউজারটিকে পুরানো সংস্করণে ফিরে যেতে বাধ্য করতে সক্ষম হয়। এটি একটি প্রোটোকল ডাউনগ্রেড আক্রমণ হিসাবে পরিচিত।

বিশেষত, "পুডল" এর ক্ষেত্রে, ক্লায়েন্ট এবং সার্ভার উভয়ই এসএসএল 3.0 সমর্থন করে, একটি এমআইটিএম আক্রমণকারী এই প্রোটোকলের ব্যবহারকে বাধ্য করতে সক্ষম হয়।

সুতরাং যখন আপনি এসএসএল 3.0 অক্ষম করবেন তখন এর দুটি প্রভাব রয়েছে:

  • উচ্চতর সংস্করণকে সমর্থন করে এমন ক্লায়েন্টগুলি দুর্বল সংস্করণে ফিরে আসার জন্য প্রতারণা করা যাবে না ( টিএলএস ফলব্যাক এসসিএসভি একটি প্রোটোকল ডাউনগ্রেড আক্রমণ প্রতিরোধের জন্য একটি নতুন প্রস্তাবিত পদ্ধতি, তবে সমস্ত ক্লায়েন্ট এবং সার্ভারগুলি এখনও এটি সমর্থন করে না)। এই কারণেই আপনি SSL 3.0 অক্ষম করতে চান। আপনার ক্লায়েন্টদের সিংহভাগ সম্ভবত এই বিভাগে আসবে এবং এটি উপকারী।

  • যে ক্লায়েন্টগুলি একেবারেই টিএলএস সমর্থন করে না (যেমন অন্যরা উল্লেখ করেছেন যে এক্সপি-তে আই 6 6 এটি এখনও HTTPS- এর জন্য ব্যবহৃত একমাত্র) কোনও এনক্রিপ্টড সংযোগের মাধ্যমে মোটেই সংযোগ করতে সক্ষম হবে না। এটি সম্ভবত আপনার ব্যবহারকারীর একটি ছোটখাটো অংশ এবং এই সংখ্যালঘুটিকে মেটাতে আপ-টু-ডেট সংখ্যক সংখ্যাগরিষ্ঠ ব্যক্তির সুরক্ষা দেওয়ার জন্য এটি মূল্যবান নয়।

দোলক
সূত্র
8
হাই বব, এই এখানে এলিস। মাললেট কীভাবে পুডল ব্যবহার করতে পারে সে সম্পর্কে আপনার ব্যাখ্যাটি পছন্দ করুন।
ব্যাটারিব্যাকআপ ইউনিট
প্রোটোকল ডাউনগ্রেড আক্রমণ সম্পর্কে +1 জানতেন না।
বিকাশকারী
1
আপডেট: "...everything less than TLS 1.2 with an AEAD cipher suite is cryptographically broken, including many implementations which conform to current specifications." zdnet.com/article/poodle-not-fixed-some-tls-s
সিস্টেমে-
@ গ্রাউন্ড জিরো > তবে দেখা গেছে যে কিছু টিএলএস বাস্তবায়ন সক্ষমতা সত্ত্বেও প্যাডিং বাইটগুলি পরীক্ষা করে নি। => বিশেষত, টিএলএস ১.০ এবং ১.১ বাস্তবায়নগুলি ভেঙে যেতে পারে (এবং অনুমানগুলি তাদের এই ফ্যাশনে ভাঙতে দেয় , যা ভাল নয়), এটি এসএসএল 3.0.০ এর মতো খারাপ নয় যেখানে স্পেসটি নিজেই ভেঙে গিয়েছিল এবং সেখানে কোনও কিছুই ছিল না was এটি চারপাশে কাজ করার জন্য একটি উপযোগী বাস্তবায়নের উপায়। এছাড়াও, সার্ভারে টিএলএস ১.০ এবং ১.১ সমর্থনটি বন্ধ করে দেওয়া এসএসএল ৩.০ বন্ধ করার চেয়ে অনেক বেশি কঠিন সমস্যা - আপনি আপনার ব্যবহারকারীর অনেক বেশি অনুপাতকে প্রভাবিত করবেন।
বব
দেখে মনে হচ্ছে এটি মূলত সার্ভার-সাইড বাস্তবায়ন যা দুর্বল (?) - আপনার টিএলএস প্রয়োগটি সার্ভারে ঠিক করুন, এবং আপনার ভাল হওয়া উচিত (?) [আমি ব্রাউজার এবং অন্যান্য ক্লায়েন্টদের প্রভাবিত না করা হয়েছে তা নিশ্চিত করার জন্য আমি এটিকে পর্যাপ্তভাবে দেখিনি have , তবে আপনার লিঙ্কযুক্ত নিবন্ধে এবং এর উত্সটিতে শব্দটি বোঝায় যে]।
বব
27

আপনার মূল্যায়ন সঠিক। একবার আপনি এসএসএল 3 নিষ্ক্রিয় করে নিলে ক্লায়েন্টদের আপনার সার্ভারের সাথে সংযোগ স্থাপনের জন্য আরও নতুন প্রোটোকল ব্যবহার করতে হবে The এসএসএল 3 প্রোটোকলটি ত্রুটিযুক্ত এবং কোনও "প্যাচ" থাকবে না। এসএসএল 3 অক্ষম করা একমাত্র সমাধান।

পুরানো ব্রাউজারগুলির ব্যবহারকারীদের আপগ্রেড করতে হবে এটি কার্যত অনিবার্য করার জন্য অনেকগুলি সাইট এসএসএল 3 অক্ষম করেছে। ধরে নিই যে আপনি ব্যবহারকারীর এজেন্ট স্ট্রিংগুলিতে লগ করছেন আপনি নিজের লগগুলি পর্যালোচনা করতে পারবেন এবং এসএসএল 3 নিষ্ক্রিয় করার বিষয়ে একটি জ্ঞাত সিদ্ধান্ত নিতে পারেন I আমি মনে করি এটি সম্ভবত আপনার সাইটের দর্শকদের একটি অল্প শতাংশই ব্রাউজারগুলি ব্যবহার করছেন যা নতুন প্রোটোকলগুলি পরিচালনা করতে অক্ষম হবে।

[ফিবিউইউ - ক্লাউডফ্লেয়ার রিপোর্ট করেছে 1.12% ব্যবহারকারীরা এসএসএলভি 3 এর উপর নির্ভর করে আইই 6 এক্সপি ব্যবহারকারী]

ইভান অ্যান্ডারসন
সূত্র
1
যদিও এটি সত্য যে এসএসএলভি 3 ত্রুটিযুক্ত এবং একমাত্র আসল সমাধান হ'ল এসএসএলভি 3 অক্ষম করা। পোডল আক্রমণের জন্য একটি প্রশমনও রয়েছে যা এসএসএলভি 3 অক্ষম করার প্রয়োজন হয় না, আপনি যদি টিএলএস 1.0 ক্লায়েন্টের জন্য আরসি 4 সাইফার গ্রহণ করতে পারেন, যেহেতু পোডল কেবল সিবিসি মোড সিফারগুলিকে (এইএস) প্রভাবিত করে। আমি এখানে এটি বর্ণনা করেছি: serverfault.com/q/637848/249649
সাইপ্রেস
2
TLS_FALLBACK_SCSVযদিও পুরানো ক্লায়েন্টদের জন্য আক্রমণ প্রশমিত করছে না। এটি কেবল নতুন ক্লায়েন্টদের জন্য অনাকাঙ্ক্ষিত প্রোটোকল সংস্করণ ডাউনগ্রেডগুলি প্রতিরোধ করার সময় পুরানো ক্লায়েন্টদের ত্রুটিযুক্ত প্রোটোকল ব্যবহার চালিয়ে যাওয়ার অনুমতি দেয়। শেষ পর্যন্ত, কোনও ক্লায়েন্টের জন্য এসএসএলভি 3 সক্ষম করা সম্ভাব্যভাবে তাদের ট্র্যাফিক আক্রমণকারীদের সামনে তুলে ধরছে।
ইভান অ্যান্ডারসন
আরসি 4 স্ক্র্যাভ নয়, পুরানো ক্লায়েন্টদের জন্য এই আক্রমণকে প্রশমিত করছে। তবে আমরা আরসি 4 ব্যবহার করি না, এ কারণেই আমি যদি সম্ভব হয় তবে এসএসএলভি 3 অক্ষম করারও প্রস্তাব দিই।
সাইপ্রেস
1
@cypres - হ্যাঁ - 'TLS_FALLBACK_SCSV' পুরানো ক্লায়েন্টদের সহায়তা করে না। আমি তর্ক করতে পারি যে গুরুতর দুর্বলতা দেখানো হয়েছে এমন একটি সাইফার ব্যবহার করাও কার্যকর নয়। আমাদের এটিকে একটি "পতাকা দিবস" হতে হবে যা এসএসএল 3.0 কে 'নেট থেকে বাদ দেয়। অবশ্যই - যদি আপনার পুরানো অ্যাপ্লিকেশন, এমবেডেড ডিভাইস ইত্যাদি পাওয়া যায় যা আপনার এন্টারপ্রাইজের ভিতরে টিএলএস সমর্থন করে না তবে এসএসএল 3.0 চালাতে নির্দ্বিধায় অনুভব করুন। যদিও আমি পাবলিক ইন্টারনেটে এসএসএল 3.0 ব্যবহার করা চালিয়ে যেতে কাউকে উত্সাহিত করা দায়িত্বজ্ঞানহীন বলে মনে করি।
ইভান অ্যান্ডারসন
আজ আমি ফায়ারফক্সে এসএসএলভি 3 অক্ষম করেছি এবং কেবলমাত্র টিএলএসকে অনুমতি দিয়েছি এবং ইন্টারনেটে ওয়েবসাইটগুলি ব্রাউজ করার সময় আমি ন্যায্য পরিমাণ এসএসএল সংযোগের সমস্যা দেখতে পাই। আমি শত শত লিনাক্স সার্ভারকে সমর্থন করছি যেখানে sslv3 সক্ষম করা আছে। আমি ভুল হতে পারি তবে এই পরিস্থিতির চূড়ান্ত সমাধানগুলি হ'ল যতক্ষণ না ওএস বিক্রেতারা একটি প্যাচ প্রকাশ করে যাতে ক্লায়েন্টের শেষের দিকে কিছুই করা উচিত না। সমস্যাটি হ'ল আপনি প্রভাবটি সম্পর্কে ভবিষ্যদ্বাণী করতে পারবেন না।
সন্দীপ.এস 85
20

হ্যাঁ, এসএসএল 3 অক্ষম করার ফলে এটি এমন হবে যাতে টিএলএস সমর্থন করে না এমন ব্যবহারকারীরা আপনার ওয়েবসাইটে অ্যাক্সেস করতে পারে না।

তবে, ব্যবহারিক দৃষ্টিকোণ থেকে, ব্রাউজারগুলি কী বিভাগে পড়ে তা দেখুন। ক্রোম এবং ফায়ারফক্স উভয়ই টিএলএস সমর্থন করে এবং এমনকি এই বাগের কারণে পুরোপুরি SSL3 সমর্থন ছাড়বে। আইই আইই 7 এর পর থেকে এটি সমর্থন করে। একমাত্র ব্রাউজারের সমর্থন নেই তবে এটি এখনও বিশ্বব্যাপী ব্যবহৃত হয়, আই 6, এবং এখনও ব্যবহৃত একমাত্র কারণ হ'ল ২ টি কারণ:

  1. এক্সপির ক্র্যাকড সংস্করণ এবং ক্রোম বা ফায়ারফক্স ব্যবহারের উপায় নেই এমন যে কেউ;
  2. কর্পোরেট বা সরকারী নীতিতে যে কেউ ব্রাউজার পছন্দ সম্পর্কিত বিধিনিষেধ সহ।

এই উভয় ক্ষেত্রেই আই 6 ব্যবহার করা হয় কারণ এটি ডিফল্ট উইন্ডোজ এক্সপি ব্রাউজার যা আসল ইনস্টলের সাথে আসে। এছাড়াও, আইই 6 এর এখনও বিশ্বব্যাপী (ছোট) বাজারে অংশীদার থাকার একমাত্র কারণ চীনের বহু ব্যবহারকারী রয়েছে।

সুতরাং, দীর্ঘ গল্প সংক্ষিপ্ত: এখানে 3 টি প্রশ্ন রয়েছে:

  1. আপনার কি উল্লেখযোগ্য চাইনিজ ইউজারবেস আছে?
  2. আপনার ওয়েবসাইটটি পুরানো এবং ভাঙা সত্ত্বেও আইই 6 এর জন্য সমর্থন সরবরাহ করে?
  3. আপনার ওয়েবসাইটটি এমন কোনও পণ্য যা কোনও সরকার বা কর্পোরেশন ব্রাউজার পছন্দ সীমাবদ্ধতার সাথে ব্যবহার করে?

যদি এই 3 টির মধ্যে কোনওটি সত্য হয়, আপনাকে একটি বিকল্প সমাধান খুঁজতে হবে। যদি 3 টি মিথ্যা হয় তবে কেবল এটি অক্ষম করুন এবং এটি দিয়ে শেষ করুন। এবং যদি আপনার বিকল্প সমাধানের প্রয়োজন হয় তবে আপনার ব্যবহারকারীর সেই ছোট্ট অংশটি 13 বছরের পুরানো ব্রাউজার থেকে স্যুইচ করার জন্য এখনও আই 6 ব্যবহার করে এমনটি বোঝানো কি আপনার পক্ষে সবচেয়ে কঠিন নয়?

Nzall
সূত্র
7

আপনি আপনার প্রশ্নে " অ্যাপাচি " এবং " ব্রাউজারগুলি " উল্লেখ করেছেন তবে শিরোনামটি আরও সাধারণ।

ইভান এবং অন্যরা ইঙ্গিত করার সাথেই সমস্যাটি এইচটিটিপিএস-এর জন্য সমস্ত-তবে-বাছাই করা। তবে এমন অনেকগুলি প্রোটোকল রয়েছে যা কোনও সার্ভার এনক্রিপ্ট করতে পারে এবং সেই ক্লায়েন্ট বেসের মধ্যে টিএলএস সমর্থন অনেক দরিদ্র (যেমনটি আমি আজ সকালে জানতে পেরেছি, কোনও আইএমএপি / এস সার্ভারে "নো এসএসএল ৩" দেওয়ার সময়)।

সুতরাং আমি ভয় পেয়েছি যে উত্তরটি হ'ল " এটি আপনি কোন পরিষেবাগুলি এনক্রিপ্ট করেছেন তার উপর নির্ভর করে এবং আপনার ব্যবহারকারী বেসগুলির মধ্যে টিএলএসের জন্য ক্লায়েন্ট সমর্থন "।

সম্পাদনা : হ্যাঁ, এটি আমার বক্তব্য ছিল, যদিও আপনি সন্তুষ্ট হওয়ায় আমি আনন্দিত। Sslv3 বন্ধ করা পরিষেবা-দ্বারা-পরিষেবা ভিত্তিতে করা হয়। উদাহরণস্বরূপ, ডোভকোটটি বন্ধ করার উপায়টি হ'ল

ssl_cipher_list = ALL:!LOW:!SSLv2:!SSLv3:!EXP:!aNULL

মধ্যে dovecot.conf। সবচেয়ে বড় সমস্যা হ'ল বেশিরভাগ ব্রাউজারগুলি এসএসএলভি 3 এর ক্ষতি সহ্য করার পরেও অন্যান্য পরিষেবার ক্লায়েন্টরা অনেক কম সহনশীল বলে মনে হয়। আমি আজ সকালে আমার প্রায় অর্ধেক ব্যবহারকারীকে ভেঙেছি যখন আমি ডোভকোটটি বন্ধ করে দিয়েছি; কে -9 মেল এবং উইন 7 এ আউটলুক চলমান অ্যান্ড্রয়েড ফোনগুলি এমন দুটি যা আমি নিশ্চিতভাবে জানি, তবে আমি আমার লগগুলি থেকে আরও দেখতে পেলাম।

SSLv3 বন্ধ করা এখনও কেবল একটি বৈধ সমাধান নয়, এটি একমাত্র সমাধান; কিন্তু এটি আঘাত করা যাচ্ছে।

2 সম্পাদনা করুন : ডভ_থমপসন_085 কে ডোভকোটে এসএসএলভি 3 সিফারগুলি অক্ষম করা কেবলমাত্র এসএসএল 3 প্রোটোকল নয়, পাশাপাশি টিএলএসভি 1.0 এবং টিএলএসভি 1.1 অক্ষম করে দেওয়ার জন্য ধন্যবাদ, যেহেতু তাদের পূর্ববর্তী প্রোটোকলটি নেই এমন কোনও সিফার নেই। ডোভকোট (কমপক্ষে, পূর্ববর্তী সংস্করণগুলি, যার মধ্যে আমি চালাচ্ছি তার অন্তর্ভুক্ত) মনে হয় সাইফারসাইটগুলির চেয়ে প্রোটোকল কনফিগার করার ক্ষমতাটির অভাব রয়েছে। এটি সম্ভবত ব্যাখ্যা করে যে এটি কেন এত বেশি ক্লায়েন্টকে ভেঙে দিয়েছে।

ম্যাডহ্যাটার মনিকাকে সমর্থন করে
সূত্র
1
আমি এখন আরও পড়েছি যে এটি কেবল ওয়েব সার্ভারগুলিকেই প্রভাবিত করবে না তবে এসএসএল যেমন ওয়েব সার্ভারগুলি, এলডিএপি সার্ভারগুলি, এসএসএইচ ডেমোনস, পিওপি 3 সার্ভারগুলি, এসএমটিপি সার্ভারগুলি ব্যবহার করে এমন সার্ভারে চলমান কোনও সার্ভিসে প্রভাব ফেলবে So সুতরাং ওয়েব সার্ভারগুলির জন্য আমাদের অ্যাপাচে কনফিগারেশন রয়েছে মোড_এসএল কনফিগারেশন ফাইলকে এসএসএল প্রোটোকল অল-এসএসএলভি 2-এসএসএলভি 3 হিসাবে আমাদের অন্যান্য পরিষেবায়ও নজর দেওয়া দরকার আমরা কীভাবে ক্লায়েন্ট / সার্ভারকে
এসএসএলভি 3
সুরক্ষা পরামর্শে বর্ণিত প্রকৃত পুডল আক্রমণ আক্রমণকারীর কাছ থেকে নিয়ন্ত্রণের কিছুটা দক্ষতার সাথে করা ন্যায্য পরিমাণ অনুরোধের উপর নির্ভর করে। এইচটিটিপিএস এবং ব্রাউজারগুলির প্রসঙ্গে যা স্ক্রিপ্টিংয়ের জন্য সম্ভাব্য ধন্যবাদ তবে IMAPS এর প্রসঙ্গে আমি নিশ্চিত নই যে এটি করণীয় একটি ব্যবহারিক জিনিস। বোর্ড জুড়ে এসএসএলভি 3 থেকে মুক্তি পাওয়া অবশ্যই আদর্শ, তবে আমি ঠিক নিশ্চিত নই যে বিশেষত পুডল এই সমস্ত ক্ষেত্রেই প্রাসঙ্গিক।
হাকান লিন্ডকভিস্ট
হ্যাঙ্কান, সময় যতই যায় ততই আমি তোমার সাথে চুক্তিতে আরও বেশি করে আছি।
ম্যাডহ্যাটার
3
ওপেনসেলে সাইফারগুলি অক্ষম !SSLv3করা আসলে TLSv1.2 ব্যতীত সমস্ত প্রোটোকল অক্ষম করে, যা আপনার সমবয়সীদের পক্ষে ভাল নাও হতে পারে। এ কারণেই প্রোটোকলটি অক্ষম করা আরও ভাল তবে কেবল আফ্রিক্স কেবল ডোভকোট ২.১++ এ। সিকিউরিটি.স্ট্যাকেক্সেঞ্জার.কম / সেকশনস / 71872/ … দেখুন ।
dave_thompson_085
@ dave_thompson_085: আপনি যখন বলবেন " অক্ষম করা হচ্ছে ... OpenSSL মধ্যে ", আপনি কি বলতে চান না " অক্ষম করা হচ্ছে ... কপোতগৃহ "? যদি তা হয় তবে আমি আপনার সাথে একমত এবং আমি এই তথ্যের আলোকে আমার উত্তরটি সংশোধন করব, যদি আপনি অনুরোধ অনুযায়ী পরিষ্কার করতে পারেন।
ম্যাডহ্যাটার
6

এসএসএলভি 3 অক্ষম করা সর্বোত্তম সমাধান, তবে আমি একমত নই যে এটিই একমাত্র সমাধান। ক্লাউডফ্লেয়ার যেমন বর্ণনা করেছে, এসএসএলভি 3 ব্যবহার খুব কম , তাই বেশিরভাগ প্রশাসকদের এটিকে বন্ধ করতে কোনও সমস্যা হওয়া উচিত নয়।

আপনার যদি এসএসএলভি 3 এর একটি নমুনা প্রয়োজন হয়, সম্ভবত আপনার উইন্ডোজ এক্সপিতে আই 6 সমর্থন করতে হবে, বা আপনাকে খুব পুরানো সফ্টওয়্যার সমর্থন করতে হবে, এটি প্রশমিত করার আরও একটি উপায় আছে।

এটি হ্রাস করার, এবং এসএসএলভি 3 রাখার উপায়টি হ'ল আরসি 4 ব্যবহার করুন এবং টিএলএস ফলব্যাক এসসিএসভি সমর্থন করুন, যা ওপেনএসএসএল 1.0.1j সরবরাহ করে। পুডল -এ কোয়ালি পোস্টে , আরসি 4 হ'ল "নির্দিষ্ট কিছু অনিরাপদ প্রবাহের সাইফার, যার নাম কেউ উল্লেখ করতে চায় না"।

গুগল এটি মেল.google.com.com এ করে এবং তারা এগুলি ব্লগ এন্ট্রিতেও বর্ণনা করে: http://googleonlinesecurity.blogspot.se/2014/10/this-poodle-bites-exploiting-ssl-30.html

cypres
সূত্র
2
আমি খারাপ কিনা তা সত্যিই নিশ্চিত নই, সিস্টেমটি পোডলের জন্য উন্মুক্ত রেখে অথবা আরসি 4-এ নামিয়ে রাখছি ...
ব্রায়ান নোব্লাচ
যে ক্লায়েন্টগুলি টিএলএস 1.1+ সমর্থন করে তারা আরসি 4 এ ডাউন শাফ্ট করবেন না। আমি কোনও বিশেষজ্ঞ নই, তবে আমি বিশ্বাস করি পোডল আরও খারাপ।
সাইপ্রেস
আরসি 4 মূলত কাঁচা ক্লিয়ারটেক্সটের পক্ষে দাঁড়ায় না?
হেগেন ভন ইটজেন
1
অবশ্যই আপনি মজা করছেন, তবে একটি বৈধ পয়েন্ট উত্থাপন করুন। : এটা, এসব নিরাপত্তা এ এই সত্যিই একটি ভাল উত্তর না যে খারাপভাবে ভাঙ্গা এর security.stackexchange.com/a/32498
cypres
2

কথোপকথন থেকে একটি বিবরণ অনুপস্থিত, মূল প্রশ্নের উপর ভিত্তি করে এটি নোট করা ভাল ধারণা হতে পারে। টিএলএস 1.0 কে এসএসএল ৩.১ হিসাবেও উল্লেখ করা হয়েছে, সুতরাং আসল পোস্টারটি আপনার কনফিগারেশনের দিকে নজর দেওয়া উচিত, আপনি কি v3.0 বা v3.1 চালাচ্ছেন?

Cybersecchimesin
সূত্র
-3

বেশিরভাগ জিনিসের মতোই উত্তরটি "এটি নির্ভর করে"। টিএলএস সমর্থন করে না এমন কোনও ধরণের "সাধারণ" ব্যবহারের একমাত্র ব্রাউজারের নাম আই 6। দুর্ভাগ্যক্রমে, বিভিন্ন প্রতিবেদনে বলা হয়েছে যে আইআই 6 বিশ্বব্যাপী এইচটিটিপি অনুরোধের কয়েক শতাংশের মতো হতে পারে (দেখুন: http://news.netraft.com/archives/2014/10/15/googles-poodle-affects-oodles.html ) । উত্তম খবরটি, যদি উত্তর আমেরিকায় থাকেন তবে এটি মার্কিন যুক্তরাষ্ট্রে তুলনামূলকভাবে অস্বাভাবিক। নিরাপদ থাকতে, আপনার আপনার ওয়েব লগ থেকে ব্যবহারকারী এজেন্টের পরিসংখ্যানগুলি দেখতে হবে। আমার ক্ষেত্রে, খুব কম আইআই 6 ইউএ আঙুলের ছাপ ছিল যে আমি ধরে নিয়েছিলাম যে তারা সমস্ত পরীক্ষার সরঞ্জাম থেকে এসেছে।

বিভিন্ন এজেন্ট কীভাবে প্রতিক্রিয়া দেখায় তা দেখতে আপনি স্ল্যাব পরীক্ষক দিয়ে আপনার ওয়েবসাইট (গুলি) পরীক্ষা করতে পারেন।

https://www.ssllabs.com/ssltest/

TL; DR - SSLv3 মারা গেছে; দীর্ঘ লাইভ টিএলএস।

জোশুয়া হবলিট
সূত্র
15
আইপি 6 এক্সপির সাথে সামঞ্জস্যপূর্ণ শেষ সংস্করণ নয়, এটি এক্সপি প্রেরণ করা সংস্করণ। আইপি 8 এক্সপি এর সাথে সামঞ্জস্যপূর্ণ সর্বশেষ সংস্করণ।
হাকান লিন্ডকভিস্ট
6
আই -6 ইঙ্গিতযুক্ত সত্যিক ভুলের কারণে -1 হ'ল এক্সপি-র সর্বশেষতম সংস্করণ।
টমটম
may be as much as a few percent of global HTTP requests। আমি তার জন্য একটি উত্স চাই ক্লাউডফ্লেয়ার ব্যবহার সম্পর্কে এটি বলেছেন: In other words, even on an out-of-date operating system, 98.88% Windows XP users connected using TLSv1.0+( blog.cloudflare.com/… )। যা বিশ্বব্যাপী "কয়েক শতাংশ" এর চেয়ে অনেক কম।
ফেকার
1
আমার সন্দেহ হয় ক্লাউডফ্লেয়ার গ্রাহকরা বেশিরভাগ বড় উত্তর আমেরিকান কোম্পানি। আমি যে স্টেটের উদ্ধৃতি দিয়েছি তা নেটক্রাফট থেকে এসেছে: নিউজনাট্রাক্ট / আরচাইভস / ৪ / ১০ / ১৫ / "" উইন্ডোজ এক্সপি এর জন্য বয়স এবং মাইক্রোসফ্টের সমর্থন শেষ হওয়া সত্ত্বেও , আই 6 জনপ্রিয় রয়েছে, বিশ্বব্যাপী আরও 3.8% ওয়েব ভিজিটের জন্য অ্যাকাউন্টিং , এবং চীনে 12.5% ​​This
জোশুয়া হবলিট
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.