আমি কীভাবে SSLv3 পুডল দুর্বলতা (সিভিই-২০১৪-৩5 ?5) প্যাচ করব?


157

সেরা আক্রমণ এবং হার্টবেলড বাগের পরে , এখন আমি এসএসএল / টিএলএস-তে একটি নতুন দুর্বলতার কথা শুনেছি যার নাম পুডল । আমি কীভাবে নিজেকে শোষণের হাত থেকে রক্ষা করব?

  • কেবল সার্ভার বা ক্লায়েন্টরাও আক্রান্ত?
  • এটি কি ওপেনএসএসএল / জ্ঞানটিএলএস নির্দিষ্ট?
  • কী ধরনের পরিষেবাগুলি প্রভাবিত হয়? কেবল এইচটিটিপিএস বা আইএমএপিএস, এসএমটিপিএস, ওপেনভিপিএন ইত্যাদি?

কীভাবে এই দুর্বলতা এড়ানো যায় তার জন্য দয়া করে আমাকে উদাহরণগুলি দেখান।


2
আরও তথ্য এখানে পাওয়া যাবে
এসএসএল 3

1
@ ব্রায়াম হ্যাঁ আমি জানি, উজ্জ্বল থমাস আবার! তবে এটি খুব ক্রিপ্টোগ্রাফিক ভিত্তিক প্রশ্নোত্তর & AU এ এই প্রশ্নোত্তর ব্যবহারিক এবং উবুন্টু ভিত্তিক তথ্য সরবরাহ করার কথা। :-)
gertvdijk

10
তাই না? "আপনি যদি প্যাচগুলি ইনস্টল না করেন তবে Níðhöggr আপনার ত্বক গ্রাস করে ফেলবে" এর চেয়ে আরও কার্যকর সমাধান কীভাবে আপনি আশা করেন?
ব্রায়াম

2
@ ব্রায়াম সবার আগে: কোনও প্যাচ নেই (আমার উত্তরটি পড়ুন)। আমি মনে করি যে থমাস ডিআইওয়াই-উবুন্টু ওয়েব সার্ভার হোস্টিংয়ের পরিবর্তে ডিভাইসগুলির উল্লেখ করছেন। লোড ব্যালেন্সারগুলির মতো সরঞ্জামগুলি সাধারণত ডিফল্ট সেটিংস পরিবর্তনের জন্য ফার্মওয়্যার আপডেটগুলি সরবরাহ করে বা এটি কনফিগার করতে সক্ষম হওয়ার জন্য কার্যকারিতা সরবরাহ করবে। তবে উবুন্টুতে এটি ব্যবহারকারী / প্রশাসকের উপর নির্ভর করে administrator
gertvdijk

প্রকৃতপক্ষে রয়েছে: বিক্রেতারা সমস্ত এসএসএলভি 3 সম্পর্কিত কোডটি অক্ষম / সরিয়ে ফেলতে পারেন, সুতরাং আপনাকে কোনও কিছুই স্পর্শ করার দরকার নেই।
ব্রায়াম

উত্তর:


209

পটভূমি তথ্য

এসএসএল ইন্টারনেটে পরিবহন স্তর সুরক্ষার জন্য ডিজাইন করা হয়েছে। 'ওয়েব' ওরফে এইচটিটিপি-র জন্য আপনি এটি এইচটিটিপিএস হিসাবে জানেন তবে এটি অন্যান্য অ্যাপ্লিকেশন প্রোটোকলের জন্যও ব্যবহৃত হয়। এসএসএলভি 2 হ'ল প্রথম বহুল ব্যবহৃত ট্রান্সপোর্ট সিকিউরিটি প্রোটোকল তবে এর পরে খুব অল্পক্ষণেই অনিরাপদ পাওয়া গেছে। উত্তরসূরি এসএসএলভি 3 এবং টিএলএসভি 1 এখন ব্যাপকভাবে সমর্থিত। TLSv1.1 এবং TLSv1.2 আরও নতুন এবং প্রচুর সমর্থনও অর্জন করছে। 2014 থেকে মুক্তিপ্রাপ্ত সমস্ত ওয়েব ব্রাউজারের পক্ষে এটির পক্ষে সমর্থন থাকলে সবচেয়ে বেশি নয়।

গুগল ইঞ্জিনিয়ারদের সাম্প্রতিক আবিষ্কারটি সূচিত করেছে যে এসএসএলভি 3 আর ব্যবহার করা উচিত নয় (যেমন এসএসএলভি 2 অনেক আগে হ'ল) যে ক্লায়েন্টগুলি আপনার সাইট / পরিষেবায় সংযোগ করতে সক্ষম হবে না তারা সম্ভবত খুব সীমাবদ্ধ। ক্লাউডফ্লেয়ার ঘোষণা করেছে যে তাদের দর্শনার্থীদের 0.09% এরও কম এসএসএলভি 3-তে নির্ভর করে।

সহজ সমাধান: SSLv3 অক্ষম করুন।

উবুন্টু কি কোনও আপডেট সরবরাহ করে?

হ্যাঁ, এসসিএসভি বৈশিষ্ট্য যুক্ত করে usn-2385-1 এর মাধ্যমে , তবে এটি পুরোপুরি সমস্যাটি প্রশমিত করে না কারণ এটি SSLv3 অক্ষম করে না এবং সংযোগের উভয় দিকটি প্যাচ করা থাকলে প্যাচটি কেবলমাত্র কাজ করবে। আপনি এটি আপনার প্যাকেজ ম্যানেজারে আপনার নিয়মিত সুরক্ষা আপডেটের মাধ্যমে পাবেন।

সুতরাং, তবুও আপনাকে SSLv3 (এটি কনফিগারযোগ্য) অক্ষম করার জন্য নিজেকে পদক্ষেপ নিতে হবে। ক্লায়েন্ট / ব্রাউজারগুলির ভবিষ্যতের সংস্করণগুলি সম্ভবত SSLv3 অক্ষম করবে। যেমন ফায়ারফক্স 34 এটি করবে 34

বাস্তবায়ন স্তরে উবুন্টুতে ডিফল্টরূপে SSLv3 সম্পূর্ণভাবে অক্ষম করা সম্ভবত এইচটিটিপিএস-এর নন-এসএসএল ব্যবহারের জন্য কিছু জিনিস ভেঙে ফেলবে যা এতটা ঝুঁকিপূর্ণ নয়, সুতরাং আমি ধরে নিয়েছি যে রক্ষণাবেক্ষণকারীরা তা করবে না এবং কেবলমাত্র এই এসসিএসভি প্যাচ প্রয়োগ করা হবে।

ওএসএনএসএল-এর এসসিএসভি আপডেট ইউএন -৩৩৮৮-১-এর মাধ্যমে সমস্যাটি প্রশমিত করবে না কেন?

সত্যই, এই জাতীয় প্রশ্ন জিজ্ঞাসা বন্ধ করুন এবং কেবল কয়েকটি অনুচ্ছেদ এড়িয়ে এসএসএলভি 3 অক্ষম করুন। তবে ওহে, যদি আপনি বিশ্বাসী না হন তবে আপনি এখানে যান:

পুডেল দেখায় যে সিবিসি সিফারগুলির সাথে এসএসএলভি 3 টি নষ্ট হয়েছে, এসসিএসভি প্রয়োগকারী এটি পরিবর্তন করে না। এসসিএসভি কেবলমাত্র নিশ্চিত করে যে আপনি কিছু ক্ষেত্রে টিএলএস প্রোটোকল থেকে কোনও নিম্ন টিএলএস / এসএসএল প্রোটোকল থেকে ডাউন-গ্রেড না করেন যা সাধারণ ক্ষেত্রে প্রয়োজন ম্যান-ইন-দ্য মিডল আক্রমণ হিসাবে প্রয়োজন।

আপনার যদি এমন কোনও সার্ভার অ্যাক্সেস করতে হয় যা টিএলএস মোটেও অফার করে না, তবে কেবল এসএসএলভি 3, তবে আপনার ব্রাউজারটির সত্যই কোনও পছন্দ নেই এবং SSLv3 ব্যবহার করে সার্ভারের সাথে কথা বলতে হবে, যা কোনও ডাউনগ্রেড আক্রমণ ছাড়াই দুর্বল।

আপনি কিছু সার্ভার খুব TLSv1 + এবং SSLv3 উপলব্ধ করা হয় (যা নিরুৎসাহিত করা হয়) অ্যাক্সেস করতে আছে এবং আপনি কি নিশ্চিতরূপে আপনার সংযোগ জন্য কোনো আক্রমণকারী SSLv3 ডাউনগ্রেড করা হইনি হতে চান, তাহলে উভয় সার্ভার এবং ক্লায়েন্টের এই SCSV প্যাচ প্রয়োজন।

ইস্যুটি সম্পূর্ণরূপে প্রশমিত করার জন্য SSLv3 এর অক্ষম হওয়া আপনার শেষ যথেষ্ট এবং আপনি নিশ্চিত হতে পারেন যে আপনাকে ডাউনগ্রেড করা হবে না। এবং আপনি SSLv3- কেবল সার্ভারের সাথে কথা বলতে পারবেন না।

ঠিক আছে, তাহলে আমি কীভাবে SSLv3 অক্ষম করব?

অ্যাপ্লিকেশন নির্দিষ্ট বিভাগে নীচে দেখুন: ফায়ারফক্স, ক্রোম, অ্যাপাচি, এনগিনেক্স এবং পোস্টফিক্স আপাতত কভার করা আছে।

কেবল সার্ভার বা ক্লায়েন্টরাও আক্রান্ত?

দুর্বলতা বিদ্যমান থাকলে যদি সার্ভার এবং ক্লায়েন্ট উভয়ই এসএসএভি 3 গ্রহণ করে (এমনকি উভয়ই টিএনএলএসভি 1 / টিএলএসভি 1.1 / টিএলএস 1.2 সক্ষম হওয়ায়)

সার্ভার প্রশাসক হিসাবে আপনার ব্যবহারকারীদের সুরক্ষার জন্য আপনার এখনই এসএসএলভি 3 অক্ষম করা উচিত ।

ব্যবহারকারী হিসাবে, এখনও SSLv3 সমর্থন করে এমন ওয়েবসাইটগুলিতে যাওয়ার সময় নিজেকে সুরক্ষিত করার জন্য আপনার ব্রাউজারে এখনই SSLv3 অক্ষম করা উচিত ।

এই ওপেনএসএসএল / জ্ঞানটিএলএস / ব্রাউজার নির্দিষ্ট?

না এটি একটি প্রোটোকল (ডিজাইন) বাগ, কোনও বাস্তবায়ন বাগ নয়। এর অর্থ আপনি প্রকৃতপক্ষে এটি প্যাচ করতে পারবেন না (যদি না আপনি পুরানো এসএসএভি 3 এর নকশাটি পরিবর্তন করেন)।

এবং হ্যাঁ, একটি নতুন ওপেনএসএসএল সুরক্ষা রিলিজ রয়েছে , তবে নীচে পড়ুন ( তবে সত্যিই আমার এসএসএল 3 সমর্থন প্রয়োজন ... কারণ X, ওয়াই, জেড! ) কেন আপনি SSLv3 সম্পূর্ণরূপে অক্ষম করার বিষয়ে আরও ভাল মনোনিবেশ করতে চান সে সম্পর্কে।

আমি কী নেটওয়ার্ক (ফায়ারওয়াল) স্তরে এসএসএলভি 3 কে মেরে ফেলতে পারি?

হ্যাঁ, সম্ভবত। আরও চিন্তাভাবনা এবং কাজের জন্য আমি এটি একটি পৃথক ব্লগ পোস্টে রেখেছি। আমাদের কিছু ম্যাজিক iptablesনিয়ম থাকতে পারে আপনি ব্যবহার করতে পারেন!

আমার ব্লগ পোস্ট: পুডেলের জন্য iptables ব্যবহার করে আপনার নেটওয়ার্কে কীভাবে SSLv3 নামাবেন?

এটি কি এইচটিটিপিএসের জন্য বা এসএমএল সমর্থন সহ আইএমএপি / এসএমটিপি / ওপেনভিপিএন এবং অন্যান্য প্রোটোকলের জন্যও প্রাসঙ্গিক?

বর্তমান আক্রমণকারী ভেক্টর, যেমনটি গবেষকরা দেখিয়েছেন, জাভাস্ক্রিপ্টটি শিকারের মেশিনে চালিত ব্যবহার করে সার্ভারে প্রেরিত প্লেটেক্সট নিয়ন্ত্রণ করার কাজ করে। এই ভেক্টরটি ব্রাউজার ব্যবহার না করে এইচটিটিপিএসবিহীন পরিস্থিতিতে প্রযোজ্য নয়।

এছাড়াও, সাধারণত কোনও এসএসএল ক্লায়েন্টটি সেশনটি এসএসএলভি 3 তে ডাউনগ্রেড করার অনুমতি দেয় না (হ্যান্ডশেকের ক্ষমতাগুলিতে টিএলএসভি 1+ রয়েছে) তবে ব্রাউজারগুলি খুব পশ্চাদপটে সামঞ্জস্যপূর্ণ হতে চায় এবং তারা তা করে। প্লেইন টেক্সট নিয়ন্ত্রণের সাথে সংশ্লেষ এবং কোনও HTTP শিরোনামটি নির্দিষ্ট উপায়ে তৈরি করা এটিকে শোষণীয় করে তোলে।

উপসংহার: এইচটিটিপিএসের জন্য এখন এসএসএলভি 3 অক্ষম করুন, আপনার পরবর্তী পরিষেবা উইন্ডোতে অন্যান্য পরিষেবার জন্য এসএসএলভি 3 অক্ষম করুন।

এর প্রভাব কী? আমাকে কি আমার সার্ভার শংসাপত্রটি প্রত্যাহার এবং পুনঃজন্মের দরকার? (হৃদয়গ্রাহী হিসাবে)

না, এর জন্য আপনার শংসাপত্রগুলি ঘোরানোর দরকার নেই। দুর্বলতা অধিবেশন ডেটা থেকে প্লেটেক্সট পুনরুদ্ধার উন্মোচিত করে, এটি কোনও গোপনীয়তা (সেশন কী বা শংসাপত্র কী নয়) এর অ্যাক্সেস সরবরাহ করে না।

একটি আক্রমণকারী সম্ভবত সেশন হাইজ্যাকিং সম্পাদনের জন্য সেশন কুকিজের মতো প্লেটেক্সট হেডারগুলি চুরি করতে সক্ষম । একটি অতিরিক্ত বাধা হ'ল সম্পূর্ণ (সক্রিয়) MitM আক্রমণ প্রয়োজন

সাধারণভাবে আমার এসএসএল কনফিগারেশনটি উন্নত করতে আমি আরও কিছু করতে পারি?

একজন ব্যবহারকারী হিসাবে, আপনার ব্রাউজারে SSLv3 অক্ষম করার পাশাপাশি, সত্যই নয়। ঠিক আছে, সর্বদা সর্বদা সর্বশেষতম সুরক্ষা আপডেট ইনস্টল করুন।

সার্ভারগুলির জন্য, মজিলার টিএলএস সার্ভার গাইডটি অনুসরণ করুন । এবং কোয়ালিগুলির এসএসএল ল্যাব পরীক্ষা দিয়ে পরীক্ষা করুন । আপনার সাইটে এটির রেটিং পাওয়া সত্যিই কঠিন নয়। আপনার প্যাকেজগুলি আপডেট করুন এবং মজিলার গাইড থেকে প্রস্তাবগুলি কার্যকর করুন।

তবে সত্যিই আমার এসএসএলভি 3 সমর্থন দরকার ... কারণের জন্য এক্স, ওয়াই, জেড! এখন কি?

ঠিক আছে, এমন একটি প্যাচ রয়েছে যা এসএসএলভি 3 ফলব্যাক প্রোটেকশন নামে পরিচিত টিএলএসভি 1 সক্ষম ক্লায়েন্টদের ডাউনগ্রেড আক্রমণকে মীমাংসা করে। এটি উপায় দ্বারা, টিএলএসভি 1 + এর সুরক্ষাও উন্নত করবে (ডাউনগ্রেড আক্রমণ শক্ত / অসম্ভব)। এটি উবুন্টু সিকিউরিটি অ্যাডভাইজরি usn-2385-1-এ সাম্প্রতিকতম ওপেনএসএসএল সংস্করণ থেকে ব্যাকপোর্ট হিসাবে অফার করা হয়েছে ।

বড় ধরা: ক্লায়েন্ট এবং সার্ভার উভয়কেই কাজ করার জন্য এই প্যাচটি দরকার। সুতরাং, আমার মতে আপনি উভয় ক্লায়েন্ট এবং সার্ভারগুলি আপডেট করার সময় আপনার কেবলমাত্র TLSv1 + এ আপগ্রেড করা উচিত।

তবে, দয়া করে, আপাতত আপনার নেটওয়ার্কে SSLv3 অবসর দিন। সুরক্ষা মানগুলি আপগ্রেড করার জন্য প্রচেষ্টা করুন এবং SSLv3 খালি করুন d

প্রোটোকল ডাউনগ্রেড আক্রমণ দূর করতে এসসিএসভি সমর্থন সম্পর্কে শুনেছি। আমার কি দরকার?

কিছু অদ্ভুত কারণে যদি আপনার সত্যই এসএসএল 3 প্রয়োজন হয় তবে এটি টিএলএসভি 1 + এও সুরক্ষা উন্নত করে, তাই হ্যাঁ, আমি আপনাকে এটি ইনস্টল করার পরামর্শ দিচ্ছি। উবুন্টু usn-2385-1 এ এই বৈশিষ্ট্যটির জন্য একটি আপডেট সরবরাহ করে । আপনি এটি আপনার প্যাকেজ ম্যানেজারে আপনার নিয়মিত সুরক্ষা আপডেটের মাধ্যমে পাবেন।

ব্যক্তিগতভাবে হোস্ট করা সাইটগুলির জন্য দুর্বলতার পরীক্ষা করা (যেমন ইন্ট্রনেট / অফলাইন)।

আপনার সার্ভারগুলি কেবল এসএসএলভি 3 সমর্থন করে তবে তারা দুর্বল। বেশ কয়েকটি বিকল্প এখানে:

  • ওপেনএসএসএল এর এস ক্লায়েন্ট সহ:

    openssl s_client -connect <server>:<port> -ssl3
    

    সংযোগটি সফল হলে, এসএসএলভি 3 সক্ষম হয়। যদি এটি ব্যর্থ হয় তবে এটি অক্ষম is এটি ব্যর্থ হলে আপনার এমন কিছু দেখতে পাওয়া উচিত:

    error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure
    
  • ব্যবহার nmap:

    nmap --script ssl-enum-ciphers -p 443 myhostname.tld
    

    এটি আউটপুট করা উচিত ' SSLv3: No supported ciphers found'। আপনার হোস্টনাম / পোর্টের জন্য সামঞ্জস্য করুন।

  • সাইফারস্ক্যান ব্যবহার করা । বাইনারি ক্লোন / ডাউনলোড করুন এবং এটি সম্পাদন করুন:

    ./cipherscan myhostname.tld
    

    এটি 'প্রোটোকল' কলামের আওতায় এসএসএলভি 3 এর সাথে কোনও কিছুই তালিকাভুক্ত করা উচিত নয়


ফায়ারফক্স ব্রাউজার

খুলুন about:config, সন্ধান করুন security.tls.version.minএবং মান সেট করুন 1। তারপরে যে কোনও ওপেন এসএসএল সংযোগগুলি ফেলে দেওয়ার জন্য আপনার ব্রাউজারটি পুনরায় চালু করুন।

34 এর পরে সংস্করণ থেকে ফায়ারফক্স SSLv3 ডিফল্টভাবে অক্ষম করবে এবং এর ফলে কোনও ক্রিয়াকলাপ ( উত্স ) প্রয়োজন নেই । যাইহোক, লেখার মুহুর্তে, 33 সবেমাত্র প্রকাশিত হয়েছে এবং 34 নভেম্বর 25-এ নির্ধারিত হয়েছে।


গুগল ক্রোম (লিনাক্স)

/usr/share/applications/google-chrome.desktopফাইলটি সম্পাদনা করুন, যেমন

sudo nano /usr/share/applications/google-chrome.desktop

অন্তর্ভুক্ত করা শুরু করে সমস্ত লাইন সম্পাদনা করুন ।Exec=--ssl-version-min=tls1

যেমন একটি লাইন মত

Exec=/usr/bin/google-chrome-stable %U

হয়ে

Exec=/usr/bin/google-chrome-stable --ssl-version-min=tls1 %U

তারপরে ব্রাউজারটি পুরোপুরি বন্ধ করে দেওয়া নিশ্চিত করুন (ক্রোম অ্যাপ্লিকেশনগুলি আপনার ব্রাউজারটিকে পটভূমিতে সক্রিয় রাখতে পারে!)।

দ্রষ্টব্য: আপনার এই প্রতিটি গুগল-ক্রোম প্যাকেজ আপডেটের পুনরাবৃত্তি করতে হবে, এই .desktopলঞ্চার ফাইলটি ওভাররাইট করে । ডিফল্টরূপে SSLv3 অক্ষমযুক্ত একটি গুগল ক্রোম বা ক্রোমিয়াম ব্রাউজারটি লেখার সময় এখনও ঘোষিত হয়নি is


অ্যাপাচি এইচটিটিপিডি সার্ভার

আপনি যদি বর্তমানে অ্যাপাচি ওয়েব সার্ভার চালাচ্ছেন যা বর্তমানে এসএসএলভি 3 কে অনুমতি দেয় তবে আপনাকে অ্যাপাচি কনফিগারেশনটি সম্পাদনা করতে হবে। ডেবিয়ান এবং উবুন্টু সিস্টেমে ফাইলটি / etc/apache2/mods- উপলভ্য / এসএসএল.কনফ হয় । CentOS এবং ফেডোরায় ফাইলটি /etc/httpd/conf.d/ssl.conf । অন্যান্য এসএসএল নির্দেশাবলী সহ আপনার অ্যাপাচি কনফিগারেশনে আপনাকে নীচের লাইনটি যুক্ত করতে হবে।

SSLProtocol All -SSLv2 -SSLv3

এটি SSLv2 এবং SSLv3 ব্যতীত সমস্ত প্রোটোকলকে অনুমতি দেবে ols

মজিলার টিএলএস সার্ভারের গাইডের বিবরণ অনুসারে আপনি নিজের ওয়েবসারভারের জন্য সিফারসাইট কনফিগারেশনটি উন্নত করার বিষয়ে বিবেচনা করতে পারেন । উদাহরণস্বরূপ যুক্ত করুন:

SSLCipherSuite          ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
SSLHonorCipherOrder     on
SSLCompression          off
# Read up on HSTS before you enable it (recommended)
# Header add Strict-Transport-Security "max-age=15768000"

তারপরে পরীক্ষা করুন যে নতুন কনফিগারেশনটি সঠিক কিনা (টাইপস ইত্যাদি নেই):

sudo apache2ctl configtest

এবং সার্ভার পুনরায় চালু করুন, যেমন

sudo service apache2 restart

CentOS এবং ফেডোরায়:

systemctl restart httpd

আরও তথ্য: অ্যাপাচি ডকুমেন্টেশন

এখন এটি পরীক্ষা করুন: আপনার সাইটটি যদি সর্বজনীনভাবে উপলভ্য থাকে তবে কোয়ালিসের এসএসএল ল্যাবস সরঞ্জামটি ব্যবহার করে এটি পরীক্ষা করুন ।


এনগিনেক্স সার্ভার

আপনি যদি এনগিনেক্স চালাচ্ছেন, তবে আপনার এসএসএলের অন্যান্য নির্দেশাবলীর মধ্যে আপনার কনফিগারেশনে নিম্নলিখিত লাইনটি অন্তর্ভুক্ত করুন:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

মজিলার টিএলএস সার্ভারের গাইডের বিবরণ অনুসারে আপনি নিজের ওয়েবসারভারের জন্য সিফারসাইট কনফিগারেশনটি উন্নত করার বিষয়ে বিবেচনা করতে পারেন । উদাহরণস্বরূপ যুক্ত করুন:

ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_prefer_server_ciphers on;
# Read up on HSTS before you enable it (recommended)
# add_header Strict-Transport-Security max-age=15768000;

এবং সার্ভার পুনরায় চালু করুন, যেমন

sudo service nginx restart

তথ্যসূত্র: এনগিনেক্স ডকুমেন্টেশন

এখন এটি পরীক্ষা করুন: আপনার সাইটটি যদি প্রকাশ্যে, উপলভ্য থাকে তবে কোয়ালিগুলির এসএসএল ল্যাবস সরঞ্জামটি ব্যবহার করে এটি পরীক্ষা করুন ।


লাইটটিপিডি ওয়েবসারভার

লাইটটিপিডি সংস্করণ> 1.4.28 এসএসএলভি 2 এবং ভি 3 অক্ষম করার জন্য একটি কনফিগারেশন বিকল্পকে সমর্থন করে। 1.4.28 এর আগে লাইটটিপিডি রিলিজ আপনাকে কেবল SSLv2 অক্ষম করার অনুমতি দেয় allow দয়া করে মনে রাখবেন যে উবুন্টু 12.04 এলটিএস এবং তার আগে সর্বোত্তম লাইটটিপিডি v1.4.28 এ ইনস্টল করুন এবং সেইজন্য এই বিতরণগুলির জন্য একটি সহজ ফিক্স পাওয়া যায় না। সুতরাং এই ফিক্সটি কেবল 12.04 এর চেয়ে বেশি উবুন্টু সংস্করণগুলির জন্য ব্যবহার করা উচিত।

উবুন্টু সংস্করণ 12.04 বা ডেবিয়ান 6, একটি আপডেট lighttpd প্যাকেজ openSUSE- এর সংগ্রহস্থল থেকে পাওয়া যায়: http://download.opensuse.org/repositories/server:/http/Debian_6.0

প্যাকেজটি ডেবিয়ান 6 (স্কুইজ) এর উদ্দেশ্যে তৈরি তবে এটি 12.04 এও কাজ করে (সুনির্দিষ্ট)

নির্দেশের /etc/lighttpd/lighttpd.confপরে নিম্নলিখিত লাইনগুলি যুক্ত করতে আপনার সম্পাদনা করুনssl.engine = "enable"

ssl.use-sslv2          = "disable"
ssl.use-sslv3          = "disable"

তারপরে আপনার sudo service lighttpd restartপরিবর্তনটি সফলভাবে কার্যকর হয়েছে কিনা তা নিশ্চিত করার জন্য আপনার পূর্ববর্তী বিভাগগুলিতে বর্ণিত একটি এসএসএল 3 হ্যান্ডশেক পরীক্ষা করা উচিত এবং এটি দিয়ে লাইটটিপিডি পরিষেবাটি পুনরায় চালু করা উচিত ।

Http://redmine.lighttpd.net/projects/lighttpd/wiki/Docs_SSL থেকে নেওয়া ।


পোস্টফিক্স এসএমটিপি

'সুবিধাবাদী এসএসএল' এর জন্য (এনক্রিপশন নীতি প্রয়োগ করা হয়নি এবং সাধারণভাবে গ্রহণযোগ্য), আপনার কোনও পরিবর্তন করার দরকার নেই। এমনকি এসএসএলভি 2 প্লেইনের থেকে ভাল, সুতরাং আপনার যদি আপনার সার্ভারটি সুরক্ষিত করতে হয় তবে আপনাকে অবশ্যই 'বাধ্যতামূলক এসএসএল' মোড ব্যবহার করা উচিত।

জন্য 'বাধ্যতামূলক করা SSL' মোড ইতিমধ্যেই কনফিগার করা হচ্ছে, শুধু যোগ / পরিবর্তন smtpd_tls_mandatory_protocols অন্তর্মুখী সংযোগ এবং জন্য সেটিং smtp_tls_mandatory_protocols বিদেশগামী সংযোগের:

smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3
smtp_tls_mandatory_protocols=!SSLv2,!SSLv3

Allyচ্ছিকভাবে, আপনি যদি সুবিধাবাদী এনক্রিপশনের জন্যও SSLv3 অক্ষম করতে চান (যদিও এটি উপরে বর্ণিত হিসাবে অপ্রয়োজনীয়), এইভাবে এটি করুন:

smtpd_tls_protocols=!SSLv2,!SSLv3
smtp_tls_protocols=!SSLv2,!SSLv3

এবং পোস্টফিক্স পুনরায় চালু করুন:

sudo service postfix restart

মেইল পাঠাও

(বেনামে ব্যবহারকারীর দ্বারা যাচাইকৃত সম্পাদনা, আমি সেন্ডমেইলের সাথে স্বাচ্ছন্দ্য বোধ করি না, দয়া করে যাচাই করুন))

এই বিকল্পগুলি LOCAL_CONFIGআপনার বিভাগে কনফিগার করা আছেsendmail.mc

LOCAL_CONFIG
O CipherList=HIGH
O ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE
O ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3

কপোতগৃহ

ডোভকোট ভি 2.1 + তে, আপনার /etc/dovecot/local.conf(বা একটি নতুন ফাইল /etc/dovecot/conf.d) -এ নিম্নলিখিতটি যুক্ত করুন :

ssl_protocols = !SSLv2 !SSLv3

এবং ডোভকোট পুনরায় চালু করুন:

sudo service dovecot restart

পুরানো সংস্করণগুলির জন্য আপনাকে উত্স কোডটি প্যাচ করতে হবে ।


কুরিয়ার-ইম্যাপ (আইএমপিডি-এসএসএল)

কুরিয়ার-ইমপ উবুন্টু 12.04 এবং অন্যদের ডিফল্টরূপে SSLv3 এর অনুমতি দেয়। আপনার এটি অক্ষম করা উচিত এবং টিএলএসকে জোর করার পরিবর্তে STARTTLS ব্যবহার করা উচিত। /etc/courier/imapd-sslনিম্নলিখিত পরিবর্তনগুলি প্রতিফলিত করতে আপনার কনফিগারেশন ফাইলটি সম্পাদনা করুন

IMAPDSSLSTART=NO
IMAPDSTARTTLS=YES
IMAP_TLS_REQUIRED=1
TLS_PROTOCOL=TLS1
TLS_STARTTLS_PROTOCOL=TLS1
TLS_CIPHER_LIST="<take those from the Mozilla TLS Server guide!>"

HAProxy সার্ভার

এসএলএল HAProxy> = 1.5 এ সমর্থিত।

/etc/haproxy.cfgফাইলটি সম্পাদনা করুন এবং আপনার bindলাইনটি সন্ধান করুন। সংযোজন no-sslv3। উদাহরণ স্বরূপ:

bind :443 ssl crt <crt> ciphers <ciphers> no-sslv3

তথ্যসূত্র: HAProxy ডকুমেন্টেশন


VPN খুলুন

অকার্যকর ( উত্স ) বলে মনে হচ্ছে।

ওপেনভিপিএন TLSv1.0 ব্যবহার করে, বা (> = 2.3.3 সহ) বিকল্পভাবে TLSv1.2 ব্যবহার করে এবং এভাবে পিডল দ্বারা প্রভাবিত হয় না।


পুতুল

পুতুলটি এইচটিটিপিএস-এর মাধ্যমে এসএসএল ব্যবহার করে তবে এটি 'ব্রাউজার' ক্লায়েন্টদের দ্বারা ব্যবহৃত হয় না, কেবল পুতুল এজেন্টগুলি যা আক্রমণটির ভেক্টরকে দেখানো ঝুঁকিপূর্ণ নয়। তবে এসএসএলভি 3 অক্ষম করার জন্য এটি সর্বোত্তম অনুশীলন।

আমার সুপারিশটি হল আপনার স্টুফেনরজহসন / পুতুলমডিউল পুতুল মডিউলটি আপনার পুতুল মাস্টার সেট আপ করতে যাতে আমি SSLv3 কিছুক্ষণ আগে মেরেছিলাম


7
এই উত্তরটি খুব দ্রুত প্রকাশিত দুর্বলতার প্রকাশের পরে তৈরি করা হয়েছিল। এখনও সেখানে ত্রুটি থাকতে পারে - বরাবরের মতো, সম্পাদনা / উন্নতি করতে নির্দ্বিধায়
gertvdijk

1
এনজিএনএক্স কনফিগারেশনের এসএসএল_প্রোটোকলসের নির্দেশনার পরে কোলন থাকা উচিত নয়
মিশেল

1
ঠিক আছে, ফায়ারফক্সের জন্য আমি বিশ্বাস করি এই হল কি হচ্ছে।
fuglede

4
এই মজিলা সুরক্ষা ব্লগ পোস্টটি ম্যানুয়ালি পছন্দগুলি টুইট করার পরিবর্তে এই অ্যাড-অনটি ইনস্টল করার পরামর্শ দেয় ।
লেগোস্কিয়া

1
@ মুরু ফায়ারওয়াল স্তরে এসএসএলভি 3 হত্যার একটি সূচনা এখানে। blog.g3rt.nl/take-down-sslv3- using
জার্মটভিডিজক

4

উবুন্টু নির্দিষ্ট নাও হতে পারে তবে নোড.জেজে পোডেল দুর্বলতার আশেপাশে কাজ করার জন্য secureOptionsআপনি require('constants').SSL_OP_NO_SSLv3যখন কোনও https বা tls সার্ভার তৈরি করবেন তখন সেট করতে পারবেন ।

অতিরিক্ত তথ্যের জন্য https://gist.github.com/3rd-Eden/715522f6950044da45d8 দেখুন


1
আইএমও আপনাকে নোড / পাইথন / রুবি বা এ জাতীয় কিছুতে সরাসরি HTTP (এস) প্রকাশ করা উচিত নয়। অ্যাপাচি /
এনগিনেক্স

হ্যাঁ, আপনি সরাসরি প্রকাশ করা উচিত হবে না। টিসিপি লেয়ার এইচটিটিপি সহ ভাষাগুলি তেমন ভাল নয় তবে তারা সকেটগুলি করে rock এনগিনেক্স এটি একটি সকেট থেকে পড়তে দিন। :-)
jrg

4
এটি ডাউন ভোটের যোগ্য নয়। অনেকগুলি ক্ষেত্রেই এইচটিএসপি সার্ভার হোস্ট করার পাশাপাশি tls ব্যবহার করা হয়।
psanford

@gertvdijk & jrg নোড.জেএস কোনও ভাষা নয়। এটি স্কেলযোগ্য নেটওয়ার্ক অ্যাপ্লিকেশন তৈরির জন্য একটি কাঠামো। এবং আপনি যেমনটি বলেছেন যে আপনার কোনও অ্যাপাচি সার্ভারের পিছনে নোড.জেস লাগানো উচিত (এবং এটিকে "শালীন "ও বলা হয়েছে) ইতিমধ্যে এটি পরিষ্কার করে দিয়েছে যে আপনি কী বলছেন তা সম্পর্কে আপনার কোনও ধারণা নেই। তারা টিপিসি / HTTP- র সাথে ভাল নয় বলে উল্লেখ করা অবশ্যই ব্যক্তিগত পক্ষপাতিত্ব। আপনি বুঝতে না পারছেন এমন ভোটাধিকার প্রযুক্তিকে শিশুসুলভভাবে অচল করতে কেবল অনুগ্রহ করে থাকুন।
তৃতীয় ইডেন

@ থ্রিডেন ওয়েল, সম্ভবত আমার মন্তব্যটি কিছুটা সাধারণীকরণ হয়েছিল, তবে আমি এখানে কয়েকটি নোট দিতে চাই। 1) আমি নীচু করিনি, 2) আমার মন্তব্যটি একটি মৃদু 'আইএমও' ছিল, 3) সম্ভবত এটি আমার সুরক্ষার ব্যাকগ্রাউন্ড, তবে আমি শিখেছি যে কোনও একটি অ্যাপ্লিকেশন কাঠামো সরাসরি বিশ্বের কাছে 80/443 এ প্রকাশ করা উচিত নয় should উত্পাদন। (প্রদর্শনের উদ্দেশ্যে না হলে) ৪) আমি দেখতে পাচ্ছি না যে আপনার পোস্টটি কীভাবে সাধারণ জিজ্ঞাসা উবুন্টু দর্শনার্থীর প্রশ্নের প্রশ্নের 'উত্তর'; এটি নোড.জেএস মোতায়েনের একটি নির্দিষ্ট নির্দিষ্ট ক্ষেত্রে খুব খুব নির্দিষ্ট।
gertvdijk

0

কুরিয়ারের জন্য "ফিক্স" টিএলএস 1.1 এবং tls 1.2 টি অক্ষম করে। Tls 1.1 বা তারও বেশি উচ্চতার সাথে কুরিয়ার চালানোর কোনও উপায় বলে মনে হচ্ছে না। আপনার সার্ভারে একটি পিসিআই স্ক্যান প্রস্তাবনা দিয়ে ফিরে আসতে পারে:

সমর্থিত হলে কেবল টিএলএস 1.1 বা টিএলএস 1.2 ব্যবহার করতে এসএসএল / টিএলএস সার্ভারগুলি কনফিগার করুন। এসএসএল / টিএলএস সার্ভারগুলি কেবল সাইফার স্যুইটগুলিকে সমর্থন করতে কনফিগার করুন যা ব্লক সাইফার ব্যবহার করে না।


-1

যেহেতু পুডল ভ্লেনারেবিলিটি প্রোটোকলে নিজেই একটি ডিজাইনের ত্রুটি এবং বাস্তবায়ন বাগ নয়, কোনও প্যাচ থাকবে না। এটিকে প্রশমিত করার একমাত্র উপায় হ'ল অ্যাপাচি সার্ভারে SSLv3 অক্ষম করা। Ssl.conf এ নীচের লাইনগুলি যুক্ত করুন এবং একটি চমত্কার অ্যাপাচি পুনঃসূচনা করুন।

SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"

1
বেশিরভাগ মানুষের আরএসএ শংসাপত্র থাকায় আরসি 4 এবং অ-কার্যকরী ইসিডিএসএ অন্তর্ভুক্ত করার জন্য -1 আপনার সার্ভারটি কীভাবে সঠিকভাবে কনফিগার করা যায় তা দয়া করে পড়ুন। উইকি.মোজিলা.আর.সিকিউরিটি
জার্মটভিডিজক

2
@gertvdijk আমি আরসি 4 সম্পর্কে আপনার সাথে একমত, তবে ইসিডিএসএ স্যুটগুলি অন্তর্ভুক্ত করা কোনও ক্ষতি করে না। এটি যদি আপনার কাছে কেবল একটি আরএসএ শংসাপত্র থাকে এবং পরে যদি আপনি ইসিডিএসএ সার্টিফিকেট পান তবে আপনার কনফিগারটি ঠিক করার সমস্যাটি সংরক্ষণ করে তবে এটি নির্দোষ নয়।
ম্যাট নর্ডহফ

@ ম্যাটনার্ডফফ ফেয়ার যথেষ্ট, তবে আমার অর্থ হ'ল নিয়মিত আরএসএ শংসাপত্র ভিত্তিক কনফিগারেশনের জন্য অনেক সাইফার নেই। এটি বেশিরভাগ ব্রাউজারে কাজ করবে তবে কোনওটি সামঞ্জস্যতার সমস্যার মুখোমুখি হতে পারে।
gertvdijk

অবশ্যই এই তালিকা থেকে আরসি 4 থেকে মুক্তি দিন, এটি নিরাপদ নয়। পারলে বাকিদের সাথে থাকুন। 3DES দুর্বল, তবে আমি এটি সামঞ্জস্যের জন্য একটি নির্দিষ্ট জায়গায় চালু করেছি। এটি দুর্বল হওয়ার কারণে এটি করতে আমি ঘৃণা করি, তবে কমপক্ষে এটি আসলে ভেঙে যায়নি ...
ব্রায়ান নোব্লাচ
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.