POODLE saldırısını nasıl azaltabilirim, ancak yine de Windows XP'de IE6 gibi eski istemciler veya bir e-posta istemcisi için destek sağlarım.
Google'ın bunu yaptığını fark ettim: https://www.ssllabs.com/ssltest/analyze.html?d=mail.google.com
Ben nginx ve openssl kullanıyorum.
Buna ek olarak, modern / çoğu tarayıcı ile Forward Secrecy tutmak istiyorum. A-derecemi ssllabs üzerinde tutmak istiyorum.
Yanıtlar:
Google'ın bu blog girişinde yazdığı gibi http://googleonlinesecurity.blogspot.se/2014/10/this-poodle-bites-exploiting-ssl-30.html POODLE'u hafifletmenin üç yolu vardır:
İlk iki seçenek, XP'de IE6 gibi eski istemcilerle uyumluluğu bozar. TLS_FALLBACK_SCSV, şu anda yalnızca Chrome'un yaptığı tarayıcıya bağlıdır, ancak Firefox çok yakında olacaktır. TLS_FALLBACK_SCSV için yeni çıkan OpenSSL 1.0.1j gerekir.
Mümkünse SSL 3 desteğini devre dışı bırakmalısınız, ancak desteklemeniz gerekiyorsa, OpenSSL 1.0.1j ve nginx'iniz varsa bu şekilde hafifletebilirsiniz:
ssl_ciphers EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH+aRSA+RC4:EECDH:EDH+aRSA:RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!CAMELLIA;
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
Bu şifreleme yapılandırması çoğu tarayıcıda ileri gizlilik sağlar ve POODLE + BEAST sunucu tarafını azaltır. SSL 3 veya TLS 1.0 tarayıcısıyla karşılaşıldığında RC4'ü AES'e göre önceliklendirerek CBC modundan kaçınarak çalışır. TLS 1.1+ çalıştıran tarayıcılarda istediğimiz kadar güvenli olmayan RC4 kullanılmaz .
Şu anda ssllab'larda bir A notu veriyor, buna örnek: https://www.ssllabs.com/ssltest/analyze.html?d=s.nimta.com