SSLv3 jest zepsuty
Wraz z pojawieniem się POODLE wszystkie zestawy szyfrów używane przez SSLv3 zostały przejęte, a protokół należy uznać za nieodwracalnie uszkodzony.
Strony internetowe
Możesz sprawdzić, czy Twoja witryna jest dostępna za pośrednictwem protokołu SSLv3 za pomocą curl(1)
:
curl -v -3 -X HEAD https://www.example.com
Te -v
zakręty argumentów do pełnych mocy, -3
siły zwijają używać SSLv3 i -X HEAD
ogranicza moc o udanym związku.
Jeśli nie jesteś zagrożony, nie powinieneś być w stanie się połączyć, a twój wynik powinien wyglądać mniej więcej tak:
* SSL peer handshake failed, the server most likely requires a client certificate to connect
Jeśli jesteś wrażliwy, powinieneś zobaczyć normalne wyjście połączenia, w tym linię:
* SSL 3.0 connection using SSL_NULL_WITH_NULL_NULL
Inne usługi
Nie tylko strony internetowe są dostępne za pośrednictwem protokołu SSL. Mail, irc i LDAP to trzy przykłady usług dostępnych za pośrednictwem bezpiecznych połączeń, które są podobnie narażone na POODLE, gdy akceptują połączenia SSLv3.
Aby połączyć się z usługą za pomocą SSLv3, możesz użyć polecenia:openssl(1)
s_client(1)
openssl s_client -connect imap.example.com:993 -ssl3 < /dev/null
-connect
Argumentu wykonuje hostname:port
parametru, -ssl3
argumentem ogranicza wersji protokołu negocjowane SSLv3 i przewodów rurowych /dev/null
do STDIN
natychmiastowego zakończenia połączenia po otwarciu.
Jeśli połączenie zostanie nawiązane pomyślnie, protokół SSLv3 jest włączony; jeśli dostaniesz ssl handshake failure
, to nie jest.
Zobacz też
Na Security SE znajduje się doskonałe pytanie i odpowiedź: /security/70719/ssl3-poodle-vulnerability
curl
„s-v
flagi przyjmuje argument; czy możesz potwierdzić to, co napisałeś powyżej? Lub jeśli wymaga to konkretnej wersjicurl
, warto by to wiedzieć.SSL .*connection using .*_WITH_.*
równa się porażce?Jeśli chcesz szybko sprawdzić, przejdź do adresu URL poniżej. Wykonuje całkiem niezłą robotę, nadążając za wszystkimi rzeczami związanymi z SSL, w tym sprawdzaniem POODLE.
https://www.ssllabs.com/ssltest/
źródło