কীভাবে পুডল প্রশমিত করতে হবে তবে পুরানো ক্লায়েন্টদের জন্য SSLv3 সমর্থন রাখুন


19

আমি কীভাবে পুডল আক্রমণটি প্রশমিত করব, তবে এখনও উইন্ডোজ এক্সপি বা কোনও ই-মেইল ক্লায়েন্টের আইই 6 এর মতো পুরানো ক্লায়েন্টদের সমর্থন রাখি।

আমি লক্ষ্য করেছি যে গুগল এটি করে: https://www.ssllabs.com/ssltest/analyze.html?d=mail.google.com

আমি এনগিনেক্স এবং ওপেনসেল ব্যবহার করছি।

এছাড়াও আমি আধুনিক / সর্বাধিক ব্রাউজারগুলির সাথে ফরোয়ার্ড গোপনীয়তা রাখতে চাই। আমি এসএল্যাবগুলিতে আমার এ-রেটিং রাখতে চাই।

উত্তর:


23

গুগল যেমন এই ব্লগ এন্ট্রি http://googleonlinesecurity.blogspot.se/2014/10/this-poodle-bites-exploiting-ssl-30.html এই ব্লগ এন্ট্রি লিখেছেন সেখানে পুডল প্রশমিত করার তিনটি উপায় রয়েছে:

  • এসএসএল 3.0 সমর্থন অক্ষম করুন
  • এসএসএল 3.0 এর সাহায্যে সিবিসি-মোড সিফারগুলি অক্ষম করুন
  • TLS_FALLBACK_SCSV সমর্থন করুন

প্রথম দুটি বিকল্প এক্সপি-তে আই 6 এর মতো পুরানো ক্লায়েন্টের সাথে সামঞ্জস্যতা ভঙ্গ করে। TLS_FALLBACK_SCSV নির্ভর ব্রাউজারের উপর নির্ভর করে, যা এই মুহুর্তে কেবল ক্রোম করে, তবে ফায়ারফক্স খুব শীঘ্রই চালু হবে। TLS_FALLBACK_SCSV সদ্য প্রকাশিত ওপেনএসএসএল 1.0.1j প্রয়োজন।

সম্ভব হলে আপনার এসএসএল 3 সমর্থনটি অক্ষম করা উচিত, তবে আপনার যদি এটি প্রায় রাখার প্রয়োজন হয় তবে আপনার যদি ওপেনএসএসএল 1.0.1 জে এবং এনজিনেক্স থাকে তবে আপনি এটি হ্রাস করতে পারেন:

ssl_ciphers EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH+aRSA+RC4:EECDH:EDH+aRSA:RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!CAMELLIA;
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;

সাইফারগুলির এই কনফিগারেশনটি বেশিরভাগ ব্রাউজারগুলিতে সামনের গোপনীয়তা সরবরাহ করে এবং পোডেল + বিস্ট সার্ভারের দিকটি প্রশমিত করে। এটি এসএসএল 3 বা টিএলএস 1.0 ব্রাউজারের মুখোমুখি হয়ে যখন AES এর চেয়ে আরসি 4 কে অগ্রাধিকার দিয়ে কাজ করে, সুতরাং সিবিসি মোড এড়িয়ে চলে। TLS 1.1+ চলছে এমন ব্রাউজারগুলি আরসি 4 ব্যবহার করে না, যা আমাদের পছন্দ মতো নিরাপদ নয়

এটি বর্তমানে স্ল্ল্যাবগুলিতে একটি রেটিং দেয়, এর কার্যকরী উদাহরণ: https://www.ssllabs.com/ssltest/analyze.html?d=s.nimta.com

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.