আমি কীভাবে পুডল আক্রমণটি প্রশমিত করব, তবে এখনও উইন্ডোজ এক্সপি বা কোনও ই-মেইল ক্লায়েন্টের আইই 6 এর মতো পুরানো ক্লায়েন্টদের সমর্থন রাখি।
আমি লক্ষ্য করেছি যে গুগল এটি করে: https://www.ssllabs.com/ssltest/analyze.html?d=mail.google.com
আমি এনগিনেক্স এবং ওপেনসেল ব্যবহার করছি।
এছাড়াও আমি আধুনিক / সর্বাধিক ব্রাউজারগুলির সাথে ফরোয়ার্ড গোপনীয়তা রাখতে চাই। আমি এসএল্যাবগুলিতে আমার এ-রেটিং রাখতে চাই।
উত্তর:
গুগল যেমন এই ব্লগ এন্ট্রি http://googleonlinesecurity.blogspot.se/2014/10/this-poodle-bites-exploiting-ssl-30.html এই ব্লগ এন্ট্রি লিখেছেন সেখানে পুডল প্রশমিত করার তিনটি উপায় রয়েছে:
প্রথম দুটি বিকল্প এক্সপি-তে আই 6 এর মতো পুরানো ক্লায়েন্টের সাথে সামঞ্জস্যতা ভঙ্গ করে। TLS_FALLBACK_SCSV নির্ভর ব্রাউজারের উপর নির্ভর করে, যা এই মুহুর্তে কেবল ক্রোম করে, তবে ফায়ারফক্স খুব শীঘ্রই চালু হবে। TLS_FALLBACK_SCSV সদ্য প্রকাশিত ওপেনএসএসএল 1.0.1j প্রয়োজন।
সম্ভব হলে আপনার এসএসএল 3 সমর্থনটি অক্ষম করা উচিত, তবে আপনার যদি এটি প্রায় রাখার প্রয়োজন হয় তবে আপনার যদি ওপেনএসএসএল 1.0.1 জে এবং এনজিনেক্স থাকে তবে আপনি এটি হ্রাস করতে পারেন:
ssl_ciphers EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH+aRSA+RC4:EECDH:EDH+aRSA:RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!CAMELLIA;
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
সাইফারগুলির এই কনফিগারেশনটি বেশিরভাগ ব্রাউজারগুলিতে সামনের গোপনীয়তা সরবরাহ করে এবং পোডেল + বিস্ট সার্ভারের দিকটি প্রশমিত করে। এটি এসএসএল 3 বা টিএলএস 1.0 ব্রাউজারের মুখোমুখি হয়ে যখন AES এর চেয়ে আরসি 4 কে অগ্রাধিকার দিয়ে কাজ করে, সুতরাং সিবিসি মোড এড়িয়ে চলে। TLS 1.1+ চলছে এমন ব্রাউজারগুলি আরসি 4 ব্যবহার করে না, যা আমাদের পছন্দ মতো নিরাপদ নয় ।
এটি বর্তমানে স্ল্ল্যাবগুলিতে একটি রেটিং দেয়, এর কার্যকরী উদাহরণ: https://www.ssllabs.com/ssltest/analyze.html?d=s.nimta.com