পটভূমি তথ্য
এসএসএল ইন্টারনেটে পরিবহন স্তর সুরক্ষার জন্য ডিজাইন করা হয়েছে। 'ওয়েব' ওরফে এইচটিটিপি-র জন্য আপনি এটি এইচটিটিপিএস হিসাবে জানেন তবে এটি অন্যান্য অ্যাপ্লিকেশন প্রোটোকলের জন্যও ব্যবহৃত হয়। এসএসএলভি 2 হ'ল প্রথম বহুল ব্যবহৃত ট্রান্সপোর্ট সিকিউরিটি প্রোটোকল তবে এর পরে খুব অল্পক্ষণেই অনিরাপদ পাওয়া গেছে। উত্তরসূরি এসএসএলভি 3 এবং টিএলএসভি 1 এখন ব্যাপকভাবে সমর্থিত। TLSv1.1 এবং TLSv1.2 আরও নতুন এবং প্রচুর সমর্থনও অর্জন করছে। 2014 থেকে মুক্তিপ্রাপ্ত সমস্ত ওয়েব ব্রাউজারের পক্ষে এটির পক্ষে সমর্থন থাকলে সবচেয়ে বেশি নয়।
গুগল ইঞ্জিনিয়ারদের সাম্প্রতিক আবিষ্কারটি সূচিত করেছে যে এসএসএলভি 3 আর ব্যবহার করা উচিত নয় (যেমন এসএসএলভি 2 অনেক আগে হ'ল) যে ক্লায়েন্টগুলি আপনার সাইট / পরিষেবায় সংযোগ করতে সক্ষম হবে না তারা সম্ভবত খুব সীমাবদ্ধ। ক্লাউডফ্লেয়ার ঘোষণা করেছে যে তাদের দর্শনার্থীদের 0.09% এরও কম এসএসএলভি 3-তে নির্ভর করে।
সহজ সমাধান: SSLv3 অক্ষম করুন।
উবুন্টু কি কোনও আপডেট সরবরাহ করে?
হ্যাঁ, এসসিএসভি বৈশিষ্ট্য যুক্ত করে usn-2385-1 এর মাধ্যমে , তবে এটি পুরোপুরি সমস্যাটি প্রশমিত করে না কারণ এটি SSLv3 অক্ষম করে না এবং সংযোগের উভয় দিকটি প্যাচ করা থাকলে প্যাচটি কেবলমাত্র কাজ করবে। আপনি এটি আপনার প্যাকেজ ম্যানেজারে আপনার নিয়মিত সুরক্ষা আপডেটের মাধ্যমে পাবেন।
সুতরাং, তবুও আপনাকে SSLv3 (এটি কনফিগারযোগ্য) অক্ষম করার জন্য নিজেকে পদক্ষেপ নিতে হবে। ক্লায়েন্ট / ব্রাউজারগুলির ভবিষ্যতের সংস্করণগুলি সম্ভবত SSLv3 অক্ষম করবে। যেমন ফায়ারফক্স 34 এটি করবে 34
বাস্তবায়ন স্তরে উবুন্টুতে ডিফল্টরূপে SSLv3 সম্পূর্ণভাবে অক্ষম করা সম্ভবত এইচটিটিপিএস-এর নন-এসএসএল ব্যবহারের জন্য কিছু জিনিস ভেঙে ফেলবে যা এতটা ঝুঁকিপূর্ণ নয়, সুতরাং আমি ধরে নিয়েছি যে রক্ষণাবেক্ষণকারীরা তা করবে না এবং কেবলমাত্র এই এসসিএসভি প্যাচ প্রয়োগ করা হবে।
ওএসএনএসএল-এর এসসিএসভি আপডেট ইউএন -৩৩৮৮-১-এর মাধ্যমে সমস্যাটি প্রশমিত করবে না কেন?
সত্যই, এই জাতীয় প্রশ্ন জিজ্ঞাসা বন্ধ করুন এবং কেবল কয়েকটি অনুচ্ছেদ এড়িয়ে এসএসএলভি 3 অক্ষম করুন। তবে ওহে, যদি আপনি বিশ্বাসী না হন তবে আপনি এখানে যান:
পুডেল দেখায় যে সিবিসি সিফারগুলির সাথে এসএসএলভি 3 টি নষ্ট হয়েছে, এসসিএসভি প্রয়োগকারী এটি পরিবর্তন করে না। এসসিএসভি কেবলমাত্র নিশ্চিত করে যে আপনি কিছু ক্ষেত্রে টিএলএস প্রোটোকল থেকে কোনও নিম্ন টিএলএস / এসএসএল প্রোটোকল থেকে ডাউন-গ্রেড না করেন যা সাধারণ ক্ষেত্রে প্রয়োজন ম্যান-ইন-দ্য মিডল আক্রমণ হিসাবে প্রয়োজন।
আপনার যদি এমন কোনও সার্ভার অ্যাক্সেস করতে হয় যা টিএলএস মোটেও অফার করে না, তবে কেবল এসএসএলভি 3, তবে আপনার ব্রাউজারটির সত্যই কোনও পছন্দ নেই এবং SSLv3 ব্যবহার করে সার্ভারের সাথে কথা বলতে হবে, যা কোনও ডাউনগ্রেড আক্রমণ ছাড়াই দুর্বল।
আপনি কিছু সার্ভার খুব TLSv1 + এবং SSLv3 উপলব্ধ করা হয় (যা নিরুৎসাহিত করা হয়) অ্যাক্সেস করতে আছে এবং আপনি কি নিশ্চিতরূপে আপনার সংযোগ জন্য কোনো আক্রমণকারী SSLv3 ডাউনগ্রেড করা হইনি হতে চান, তাহলে উভয় সার্ভার এবং ক্লায়েন্টের এই SCSV প্যাচ প্রয়োজন।
ইস্যুটি সম্পূর্ণরূপে প্রশমিত করার জন্য SSLv3 এর অক্ষম হওয়া আপনার শেষ যথেষ্ট এবং আপনি নিশ্চিত হতে পারেন যে আপনাকে ডাউনগ্রেড করা হবে না। এবং আপনি SSLv3- কেবল সার্ভারের সাথে কথা বলতে পারবেন না।
ঠিক আছে, তাহলে আমি কীভাবে SSLv3 অক্ষম করব?
অ্যাপ্লিকেশন নির্দিষ্ট বিভাগে নীচে দেখুন: ফায়ারফক্স, ক্রোম, অ্যাপাচি, এনগিনেক্স এবং পোস্টফিক্স আপাতত কভার করা আছে।
কেবল সার্ভার বা ক্লায়েন্টরাও আক্রান্ত?
দুর্বলতা বিদ্যমান থাকলে যদি সার্ভার এবং ক্লায়েন্ট উভয়ই এসএসএভি 3 গ্রহণ করে (এমনকি উভয়ই টিএনএলএসভি 1 / টিএলএসভি 1.1 / টিএলএস 1.2 সক্ষম হওয়ায়)
সার্ভার প্রশাসক হিসাবে আপনার ব্যবহারকারীদের সুরক্ষার জন্য আপনার এখনই এসএসএলভি 3 অক্ষম করা উচিত ।
ব্যবহারকারী হিসাবে, এখনও SSLv3 সমর্থন করে এমন ওয়েবসাইটগুলিতে যাওয়ার সময় নিজেকে সুরক্ষিত করার জন্য আপনার ব্রাউজারে এখনই SSLv3 অক্ষম করা উচিত ।
এই ওপেনএসএসএল / জ্ঞানটিএলএস / ব্রাউজার নির্দিষ্ট?
না এটি একটি প্রোটোকল (ডিজাইন) বাগ, কোনও বাস্তবায়ন বাগ নয়। এর অর্থ আপনি প্রকৃতপক্ষে এটি প্যাচ করতে পারবেন না (যদি না আপনি পুরানো এসএসএভি 3 এর নকশাটি পরিবর্তন করেন)।
এবং হ্যাঁ, একটি নতুন ওপেনএসএসএল সুরক্ষা রিলিজ রয়েছে , তবে নীচে পড়ুন ( তবে সত্যিই আমার এসএসএল 3 সমর্থন প্রয়োজন ... কারণ X, ওয়াই, জেড! ) কেন আপনি SSLv3 সম্পূর্ণরূপে অক্ষম করার বিষয়ে আরও ভাল মনোনিবেশ করতে চান সে সম্পর্কে।
আমি কী নেটওয়ার্ক (ফায়ারওয়াল) স্তরে এসএসএলভি 3 কে মেরে ফেলতে পারি?
হ্যাঁ, সম্ভবত। আরও চিন্তাভাবনা এবং কাজের জন্য আমি এটি একটি পৃথক ব্লগ পোস্টে রেখেছি। আমাদের কিছু ম্যাজিক iptables
নিয়ম থাকতে পারে আপনি ব্যবহার করতে পারেন!
আমার ব্লগ পোস্ট: পুডেলের জন্য iptables ব্যবহার করে আপনার নেটওয়ার্কে কীভাবে SSLv3 নামাবেন?
এটি কি এইচটিটিপিএসের জন্য বা এসএমএল সমর্থন সহ আইএমএপি / এসএমটিপি / ওপেনভিপিএন এবং অন্যান্য প্রোটোকলের জন্যও প্রাসঙ্গিক?
বর্তমান আক্রমণকারী ভেক্টর, যেমনটি গবেষকরা দেখিয়েছেন, জাভাস্ক্রিপ্টটি শিকারের মেশিনে চালিত ব্যবহার করে সার্ভারে প্রেরিত প্লেটেক্সট নিয়ন্ত্রণ করার কাজ করে। এই ভেক্টরটি ব্রাউজার ব্যবহার না করে এইচটিটিপিএসবিহীন পরিস্থিতিতে প্রযোজ্য নয়।
এছাড়াও, সাধারণত কোনও এসএসএল ক্লায়েন্টটি সেশনটি এসএসএলভি 3 তে ডাউনগ্রেড করার অনুমতি দেয় না (হ্যান্ডশেকের ক্ষমতাগুলিতে টিএলএসভি 1+ রয়েছে) তবে ব্রাউজারগুলি খুব পশ্চাদপটে সামঞ্জস্যপূর্ণ হতে চায় এবং তারা তা করে। প্লেইন টেক্সট নিয়ন্ত্রণের সাথে সংশ্লেষ এবং কোনও HTTP শিরোনামটি নির্দিষ্ট উপায়ে তৈরি করা এটিকে শোষণীয় করে তোলে।
উপসংহার: এইচটিটিপিএসের জন্য এখন এসএসএলভি 3 অক্ষম করুন, আপনার পরবর্তী পরিষেবা উইন্ডোতে অন্যান্য পরিষেবার জন্য এসএসএলভি 3 অক্ষম করুন।
এর প্রভাব কী? আমাকে কি আমার সার্ভার শংসাপত্রটি প্রত্যাহার এবং পুনঃজন্মের দরকার? (হৃদয়গ্রাহী হিসাবে)
না, এর জন্য আপনার শংসাপত্রগুলি ঘোরানোর দরকার নেই। দুর্বলতা অধিবেশন ডেটা থেকে প্লেটেক্সট পুনরুদ্ধার উন্মোচিত করে, এটি কোনও গোপনীয়তা (সেশন কী বা শংসাপত্র কী নয়) এর অ্যাক্সেস সরবরাহ করে না।
একটি আক্রমণকারী সম্ভবত সেশন হাইজ্যাকিং সম্পাদনের জন্য সেশন কুকিজের মতো প্লেটেক্সট হেডারগুলি চুরি করতে সক্ষম । একটি অতিরিক্ত বাধা হ'ল সম্পূর্ণ (সক্রিয়) MitM আক্রমণ প্রয়োজন ।
সাধারণভাবে আমার এসএসএল কনফিগারেশনটি উন্নত করতে আমি আরও কিছু করতে পারি?
একজন ব্যবহারকারী হিসাবে, আপনার ব্রাউজারে SSLv3 অক্ষম করার পাশাপাশি, সত্যই নয়। ঠিক আছে, সর্বদা সর্বদা সর্বশেষতম সুরক্ষা আপডেট ইনস্টল করুন।
সার্ভারগুলির জন্য, মজিলার টিএলএস সার্ভার গাইডটি অনুসরণ করুন । এবং কোয়ালিগুলির এসএসএল ল্যাব পরীক্ষা দিয়ে পরীক্ষা করুন । আপনার সাইটে এটির রেটিং পাওয়া সত্যিই কঠিন নয়। আপনার প্যাকেজগুলি আপডেট করুন এবং মজিলার গাইড থেকে প্রস্তাবগুলি কার্যকর করুন।
তবে সত্যিই আমার এসএসএলভি 3 সমর্থন দরকার ... কারণের জন্য এক্স, ওয়াই, জেড! এখন কি?
ঠিক আছে, এমন একটি প্যাচ রয়েছে যা এসএসএলভি 3 ফলব্যাক প্রোটেকশন নামে পরিচিত টিএলএসভি 1 সক্ষম ক্লায়েন্টদের ডাউনগ্রেড আক্রমণকে মীমাংসা করে। এটি উপায় দ্বারা, টিএলএসভি 1 + এর সুরক্ষাও উন্নত করবে (ডাউনগ্রেড আক্রমণ শক্ত / অসম্ভব)। এটি উবুন্টু সিকিউরিটি অ্যাডভাইজরি usn-2385-1-এ সাম্প্রতিকতম ওপেনএসএসএল সংস্করণ থেকে ব্যাকপোর্ট হিসাবে অফার করা হয়েছে ।
বড় ধরা: ক্লায়েন্ট এবং সার্ভার উভয়কেই কাজ করার জন্য এই প্যাচটি দরকার। সুতরাং, আমার মতে আপনি উভয় ক্লায়েন্ট এবং সার্ভারগুলি আপডেট করার সময় আপনার কেবলমাত্র TLSv1 + এ আপগ্রেড করা উচিত।
তবে, দয়া করে, আপাতত আপনার নেটওয়ার্কে SSLv3 অবসর দিন। সুরক্ষা মানগুলি আপগ্রেড করার জন্য প্রচেষ্টা করুন এবং SSLv3 খালি করুন d
প্রোটোকল ডাউনগ্রেড আক্রমণ দূর করতে এসসিএসভি সমর্থন সম্পর্কে শুনেছি। আমার কি দরকার?
কিছু অদ্ভুত কারণে যদি আপনার সত্যই এসএসএল 3 প্রয়োজন হয় তবে এটি টিএলএসভি 1 + এও সুরক্ষা উন্নত করে, তাই হ্যাঁ, আমি আপনাকে এটি ইনস্টল করার পরামর্শ দিচ্ছি। উবুন্টু usn-2385-1 এ এই বৈশিষ্ট্যটির জন্য একটি আপডেট সরবরাহ করে । আপনি এটি আপনার প্যাকেজ ম্যানেজারে আপনার নিয়মিত সুরক্ষা আপডেটের মাধ্যমে পাবেন।
ব্যক্তিগতভাবে হোস্ট করা সাইটগুলির জন্য দুর্বলতার পরীক্ষা করা (যেমন ইন্ট্রনেট / অফলাইন)।
আপনার সার্ভারগুলি কেবল এসএসএলভি 3 সমর্থন করে তবে তারা দুর্বল। বেশ কয়েকটি বিকল্প এখানে:
ওপেনএসএসএল এর এস ক্লায়েন্ট সহ:
openssl s_client -connect <server>:<port> -ssl3
সংযোগটি সফল হলে, এসএসএলভি 3 সক্ষম হয়। যদি এটি ব্যর্থ হয় তবে এটি অক্ষম is এটি ব্যর্থ হলে আপনার এমন কিছু দেখতে পাওয়া উচিত:
error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure
ব্যবহার nmap
:
nmap --script ssl-enum-ciphers -p 443 myhostname.tld
এটি আউটপুট করা উচিত ' SSLv3: No supported ciphers found
'। আপনার হোস্টনাম / পোর্টের জন্য সামঞ্জস্য করুন।
সাইফারস্ক্যান ব্যবহার করা । বাইনারি ক্লোন / ডাউনলোড করুন এবং এটি সম্পাদন করুন:
./cipherscan myhostname.tld
এটি 'প্রোটোকল' কলামের আওতায় এসএসএলভি 3 এর সাথে কোনও কিছুই তালিকাভুক্ত করা উচিত নয় ।
ফায়ারফক্স ব্রাউজার
খুলুন about:config
, সন্ধান করুন security.tls.version.min
এবং মান সেট করুন 1
। তারপরে যে কোনও ওপেন এসএসএল সংযোগগুলি ফেলে দেওয়ার জন্য আপনার ব্রাউজারটি পুনরায় চালু করুন।
34 এর পরে সংস্করণ থেকে ফায়ারফক্স SSLv3 ডিফল্টভাবে অক্ষম করবে এবং এর ফলে কোনও ক্রিয়াকলাপ ( উত্স ) প্রয়োজন নেই । যাইহোক, লেখার মুহুর্তে, 33 সবেমাত্র প্রকাশিত হয়েছে এবং 34 নভেম্বর 25-এ নির্ধারিত হয়েছে।
গুগল ক্রোম (লিনাক্স)
/usr/share/applications/google-chrome.desktop
ফাইলটি সম্পাদনা করুন, যেমন
sudo nano /usr/share/applications/google-chrome.desktop
অন্তর্ভুক্ত করা শুরু করে সমস্ত লাইন সম্পাদনা করুন ।Exec=
--ssl-version-min=tls1
যেমন একটি লাইন মত
Exec=/usr/bin/google-chrome-stable %U
হয়ে
Exec=/usr/bin/google-chrome-stable --ssl-version-min=tls1 %U
তারপরে ব্রাউজারটি পুরোপুরি বন্ধ করে দেওয়া নিশ্চিত করুন (ক্রোম অ্যাপ্লিকেশনগুলি আপনার ব্রাউজারটিকে পটভূমিতে সক্রিয় রাখতে পারে!)।
দ্রষ্টব্য: আপনার এই প্রতিটি গুগল-ক্রোম প্যাকেজ আপডেটের পুনরাবৃত্তি করতে হবে, এই .desktop
লঞ্চার ফাইলটি ওভাররাইট করে । ডিফল্টরূপে SSLv3 অক্ষমযুক্ত একটি গুগল ক্রোম বা ক্রোমিয়াম ব্রাউজারটি লেখার সময় এখনও ঘোষিত হয়নি is
অ্যাপাচি এইচটিটিপিডি সার্ভার
আপনি যদি বর্তমানে অ্যাপাচি ওয়েব সার্ভার চালাচ্ছেন যা বর্তমানে এসএসএলভি 3 কে অনুমতি দেয় তবে আপনাকে অ্যাপাচি কনফিগারেশনটি সম্পাদনা করতে হবে। ডেবিয়ান এবং উবুন্টু সিস্টেমে ফাইলটি / etc/apache2/mods- উপলভ্য / এসএসএল.কনফ হয় । CentOS এবং ফেডোরায় ফাইলটি /etc/httpd/conf.d/ssl.conf । অন্যান্য এসএসএল নির্দেশাবলী সহ আপনার অ্যাপাচি কনফিগারেশনে আপনাকে নীচের লাইনটি যুক্ত করতে হবে।
SSLProtocol All -SSLv2 -SSLv3
এটি SSLv2 এবং SSLv3 ব্যতীত সমস্ত প্রোটোকলকে অনুমতি দেবে ols
মজিলার টিএলএস সার্ভারের গাইডের বিবরণ অনুসারে আপনি নিজের ওয়েবসারভারের জন্য সিফারসাইট কনফিগারেশনটি উন্নত করার বিষয়ে বিবেচনা করতে পারেন । উদাহরণস্বরূপ যুক্ত করুন:
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
SSLHonorCipherOrder on
SSLCompression off
# Read up on HSTS before you enable it (recommended)
# Header add Strict-Transport-Security "max-age=15768000"
তারপরে পরীক্ষা করুন যে নতুন কনফিগারেশনটি সঠিক কিনা (টাইপস ইত্যাদি নেই):
sudo apache2ctl configtest
এবং সার্ভার পুনরায় চালু করুন, যেমন
sudo service apache2 restart
CentOS এবং ফেডোরায়:
systemctl restart httpd
আরও তথ্য: অ্যাপাচি ডকুমেন্টেশন
এখন এটি পরীক্ষা করুন: আপনার সাইটটি যদি সর্বজনীনভাবে উপলভ্য থাকে তবে কোয়ালিসের এসএসএল ল্যাবস সরঞ্জামটি ব্যবহার করে এটি পরীক্ষা করুন ।
এনগিনেক্স সার্ভার
আপনি যদি এনগিনেক্স চালাচ্ছেন, তবে আপনার এসএসএলের অন্যান্য নির্দেশাবলীর মধ্যে আপনার কনফিগারেশনে নিম্নলিখিত লাইনটি অন্তর্ভুক্ত করুন:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
মজিলার টিএলএস সার্ভারের গাইডের বিবরণ অনুসারে আপনি নিজের ওয়েবসারভারের জন্য সিফারসাইট কনফিগারেশনটি উন্নত করার বিষয়ে বিবেচনা করতে পারেন । উদাহরণস্বরূপ যুক্ত করুন:
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_prefer_server_ciphers on;
# Read up on HSTS before you enable it (recommended)
# add_header Strict-Transport-Security max-age=15768000;
এবং সার্ভার পুনরায় চালু করুন, যেমন
sudo service nginx restart
তথ্যসূত্র: এনগিনেক্স ডকুমেন্টেশন
এখন এটি পরীক্ষা করুন: আপনার সাইটটি যদি প্রকাশ্যে, উপলভ্য থাকে তবে কোয়ালিগুলির এসএসএল ল্যাবস সরঞ্জামটি ব্যবহার করে এটি পরীক্ষা করুন ।
লাইটটিপিডি ওয়েবসারভার
লাইটটিপিডি সংস্করণ> 1.4.28 এসএসএলভি 2 এবং ভি 3 অক্ষম করার জন্য একটি কনফিগারেশন বিকল্পকে সমর্থন করে। 1.4.28 এর আগে লাইটটিপিডি রিলিজ আপনাকে কেবল SSLv2 অক্ষম করার অনুমতি দেয় allow দয়া করে মনে রাখবেন যে উবুন্টু 12.04 এলটিএস এবং তার আগে সর্বোত্তম লাইটটিপিডি v1.4.28 এ ইনস্টল করুন এবং সেইজন্য এই বিতরণগুলির জন্য একটি সহজ ফিক্স পাওয়া যায় না। সুতরাং এই ফিক্সটি কেবল 12.04 এর চেয়ে বেশি উবুন্টু সংস্করণগুলির জন্য ব্যবহার করা উচিত।
উবুন্টু সংস্করণ 12.04 বা ডেবিয়ান 6, একটি আপডেট lighttpd প্যাকেজ openSUSE- এর সংগ্রহস্থল থেকে পাওয়া যায়:
http://download.opensuse.org/repositories/server:/http/Debian_6.0
প্যাকেজটি ডেবিয়ান 6 (স্কুইজ) এর উদ্দেশ্যে তৈরি তবে এটি 12.04 এও কাজ করে (সুনির্দিষ্ট)
নির্দেশের /etc/lighttpd/lighttpd.conf
পরে নিম্নলিখিত লাইনগুলি যুক্ত করতে আপনার সম্পাদনা করুনssl.engine = "enable"
ssl.use-sslv2 = "disable"
ssl.use-sslv3 = "disable"
তারপরে আপনার sudo service lighttpd restart
পরিবর্তনটি সফলভাবে কার্যকর হয়েছে কিনা তা নিশ্চিত করার জন্য আপনার পূর্ববর্তী বিভাগগুলিতে বর্ণিত একটি এসএসএল 3 হ্যান্ডশেক পরীক্ষা করা উচিত এবং এটি দিয়ে লাইটটিপিডি পরিষেবাটি পুনরায় চালু করা উচিত ।
Http://redmine.lighttpd.net/projects/lighttpd/wiki/Docs_SSL থেকে নেওয়া ।
পোস্টফিক্স এসএমটিপি
'সুবিধাবাদী এসএসএল' এর জন্য (এনক্রিপশন নীতি প্রয়োগ করা হয়নি এবং সাধারণভাবে গ্রহণযোগ্য), আপনার কোনও পরিবর্তন করার দরকার নেই। এমনকি এসএসএলভি 2 প্লেইনের থেকে ভাল, সুতরাং আপনার যদি আপনার সার্ভারটি সুরক্ষিত করতে হয় তবে আপনাকে অবশ্যই 'বাধ্যতামূলক এসএসএল' মোড ব্যবহার করা উচিত।
জন্য 'বাধ্যতামূলক করা SSL' মোড ইতিমধ্যেই কনফিগার করা হচ্ছে, শুধু যোগ / পরিবর্তন smtpd_tls_mandatory_protocols অন্তর্মুখী সংযোগ এবং জন্য সেটিং smtp_tls_mandatory_protocols বিদেশগামী সংযোগের:
smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3
smtp_tls_mandatory_protocols=!SSLv2,!SSLv3
Allyচ্ছিকভাবে, আপনি যদি সুবিধাবাদী এনক্রিপশনের জন্যও SSLv3 অক্ষম করতে চান (যদিও এটি উপরে বর্ণিত হিসাবে অপ্রয়োজনীয়), এইভাবে এটি করুন:
smtpd_tls_protocols=!SSLv2,!SSLv3
smtp_tls_protocols=!SSLv2,!SSLv3
এবং পোস্টফিক্স পুনরায় চালু করুন:
sudo service postfix restart
মেইল পাঠাও
(বেনামে ব্যবহারকারীর দ্বারা যাচাইকৃত সম্পাদনা, আমি সেন্ডমেইলের সাথে স্বাচ্ছন্দ্য বোধ করি না, দয়া করে যাচাই করুন))
এই বিকল্পগুলি LOCAL_CONFIG
আপনার বিভাগে কনফিগার করা আছেsendmail.mc
LOCAL_CONFIG
O CipherList=HIGH
O ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE
O ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3
কপোতগৃহ
ডোভকোট ভি 2.1 + তে, আপনার /etc/dovecot/local.conf
(বা একটি নতুন ফাইল /etc/dovecot/conf.d
) -এ নিম্নলিখিতটি যুক্ত করুন :
ssl_protocols = !SSLv2 !SSLv3
এবং ডোভকোট পুনরায় চালু করুন:
sudo service dovecot restart
পুরানো সংস্করণগুলির জন্য আপনাকে উত্স কোডটি প্যাচ করতে হবে ।
কুরিয়ার-ইম্যাপ (আইএমপিডি-এসএসএল)
কুরিয়ার-ইমপ উবুন্টু 12.04 এবং অন্যদের ডিফল্টরূপে SSLv3 এর অনুমতি দেয়। আপনার এটি অক্ষম করা উচিত এবং টিএলএসকে জোর করার পরিবর্তে STARTTLS ব্যবহার করা উচিত। /etc/courier/imapd-ssl
নিম্নলিখিত পরিবর্তনগুলি প্রতিফলিত করতে আপনার কনফিগারেশন ফাইলটি সম্পাদনা করুন
IMAPDSSLSTART=NO
IMAPDSTARTTLS=YES
IMAP_TLS_REQUIRED=1
TLS_PROTOCOL=TLS1
TLS_STARTTLS_PROTOCOL=TLS1
TLS_CIPHER_LIST="<take those from the Mozilla TLS Server guide!>"
HAProxy সার্ভার
এসএলএল HAProxy> = 1.5 এ সমর্থিত।
/etc/haproxy.cfg
ফাইলটি সম্পাদনা করুন এবং আপনার bind
লাইনটি সন্ধান করুন। সংযোজন no-sslv3
। উদাহরণ স্বরূপ:
bind :443 ssl crt <crt> ciphers <ciphers> no-sslv3
তথ্যসূত্র: HAProxy ডকুমেন্টেশন
VPN খুলুন
অকার্যকর ( উত্স ) বলে মনে হচ্ছে।
ওপেনভিপিএন TLSv1.0 ব্যবহার করে, বা (> = 2.3.3 সহ) বিকল্পভাবে TLSv1.2 ব্যবহার করে এবং এভাবে পিডল দ্বারা প্রভাবিত হয় না।
পুতুল
পুতুলটি এইচটিটিপিএস-এর মাধ্যমে এসএসএল ব্যবহার করে তবে এটি 'ব্রাউজার' ক্লায়েন্টদের দ্বারা ব্যবহৃত হয় না, কেবল পুতুল এজেন্টগুলি যা আক্রমণটির ভেক্টরকে দেখানো ঝুঁকিপূর্ণ নয়। তবে এসএসএলভি 3 অক্ষম করার জন্য এটি সর্বোত্তম অনুশীলন।
আমার সুপারিশটি হল আপনার স্টুফেনরজহসন / পুতুলমডিউল পুতুল মডিউলটি আপনার পুতুল মাস্টার সেট আপ করতে যাতে আমি SSLv3 কিছুক্ষণ আগে মেরেছিলাম ।