Frage Pudel: Ist die Deaktivierung von SSL V3 auf dem Server wirklich eine Lösung?


Ich habe den ganzen Tag über die Poodle-Schwachstelle gelesen und bin jetzt etwas verwirrt im Vergleich zu Sicherheit und Einnahmen.

Wenn ich SSL V3 auf dem Server deaktiviere (SSL V2 und V3 sind beide für Apache deaktiviert) Clients (Browser), die kein Protokoll unterstützen, aber SSL V3 ist nicht in der Lage, HTTPS mit dem Server zu verbinden.

Es ist also eine Situation, in der sowohl der Client als auch der Server mit TLS 1.1 1.2 und so weiter kommunizieren müssen

Wenn einer von ihnen SSL V3 verwendet und der andere keine niedrigeren Versionen unterstützt, was passiert dann? Keine Verbindung zu SSL.

Ich habe in Firefox einige Updates gesehen, vielleicht haben sie das SSL V3 in dem deaktiviert, was wir normalerweise in Optionen tun müssen. Dies wird die gesamte Verbindung zu niedrigeren Versionen und TLS erzwingen

Aber ist das Deaktivieren von SSL V3 wirklich eine Lösung für dieses Problem?


40
2017-10-17 04:54


Ursprung


Was meinst du mit "Dies wird die Verbindung zu niedrigeren Versionen und TLS erzwingen"? SSLv1 und SSLv2 wurden lange Zeit deaktiviert, da sie beschädigt wurden. SSLv3 wurde missbilligt, blieb aber in vielen Fällen weiterhin in der Lage, Legacy-Software zu unterstützen. Was ist die niedrigere Version, auf die du dich beziehst? TLSv1.0, v1.1, v1.2, ... sind spätere Standards und können als "höhere Version SSL" betrachtet werden, nur die Versionsnummern wurden mit der Namensänderung zurückgesetzt. - Håkan Lindqvist
Hallo, also was ich bis jetzt verstanden habe ist, wenn ich SSL V3 und V2 auf Server wie von Red Hat auch empfohlen deaktiviere, wird die sichere Verbindung auf TLS-Protokoll sein. Und wenn die Browser TLS mit dem Server anrufen, dann wird es kein Problem bei sicheren Verbindungen geben. Ich habe nicht die genauen Informationen über die Unterschiede zwischen SSL- und TLS-Versionen. - sandeep.s85


Antworten:


Lasst uns zuerst die Dinge klären:

  • TLS löste SSL ab. TLS 1.0 kam nach und ist ein Update für SSL 3.0.

    TLS 1.2> TLS 1.1> TLS 1.0> SSL 3.0> SSL 2.0> SSL 1.0

  • SSL-Versionen vor 3.0 hatten bereits seit einiger Zeit schwerwiegende Sicherheitslücken und wurden von modernen Clients und Servern deaktiviert / nicht unterstützt. SSL 3.0 wird wahrscheinlich bald genauso laufen.

  • Von den derzeit verwendeten Protokollen wirkt sich "Poodle" am stärksten auf SSL 3.0 aus, wo es keine Möglichkeit gibt, diese zu mildern. Da ist ein ähnlicher Angriff gegen einige TLS 1.0 und 1.1 Implementierungen das die Spezifikation erlaubt - stellen Sie sicher, dass Ihre Software auf dem neuesten Stand ist.


Nun ist der Grund "Pudel" ein Risiko, sogar bei modernen Clients und Servern, weil die Kunden einen Fallback-Mechanismus implementieren. Nicht alle Server unterstützen die neuesten Versionen, daher versuchen Clients jede Version in der Reihenfolge von den meisten bis zu den letzten (TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0), bis eine vom Server unterstützte gefunden wird. Das passiert Vor Die verschlüsselte Kommunikation beginnt, sodass ein Man-in-the-Middle-Angreifer (MITM) den Browser zwingen kann, auf eine ältere Version zurückzugreifen, auch wenn der Server einen höheren unterstützt. Dies wird als Protokoll-Downgrade-Angriff bezeichnet.

Insbesondere im Fall von "Pudel" kann ein MITM-Angreifer die Verwendung dieses Protokolls erzwingen, solange sowohl der Client als auch der Server SSL 3.0 unterstützen.

Wenn Sie also SSL 3.0 deaktivieren, hat dies zwei Auswirkungen:

  • Clients, die höhere Versionen unterstützen, können nicht dazu verleitet werden, auf die anfällige Version zurückzugreifen (TLS Fallback SCSV ist ein neuer vorgeschlagener Mechanismus, um einen Protokoll-Downgrade-Angriff zu verhindern, aber nicht alle Clients und Server unterstützen ihn bisher). Aus diesem Grund möchten Sie SSL 3.0 deaktivieren. Die überwiegende Mehrheit Ihrer Kunden fällt wahrscheinlich in diese Kategorie, und das ist vorteilhaft.

  • Kunden, die unterlassen Sie Unterstützung von TLS überhaupt (wie andere bereits erwähnt haben, IE6 auf XP ist so ziemlich das einzige, das immer noch für HTTPS verwendet wird), wird überhaupt keine Verbindung über eine verschlüsselte Verbindung herstellen können. Dies ist wahrscheinlich ein kleiner Teil Ihrer Nutzerbasis, und es lohnt sich nicht, die Sicherheit der Mehrheit zu opfern, die auf dem neuesten Stand sind, um dieser Minderheit gerecht zu werden.


53
2017-10-17 11:41



Hallo Bob, hier ist Alice. Wie deine Erklärung darüber, wie Mallet Pudel benutzen kann. - BatteryBackupUnit
+1 Ich wusste nichts über den Protokoll-Downgrade-Angriff. - developerwjk
AKTUALISIEREN: "...everything less than TLS 1.2 with an AEAD cipher suite is cryptographically broken, including many implementations which conform to current specifications."  zdnet.com/article/poodle-not-fixed-some-tls-systems-vulnerable - BlueCacti
@Ground Zero > Es stellt sich jedoch heraus, dass einige TLS-Implementierungen die Füllbytes trotz der entsprechenden Fähigkeit immer noch nicht überprüft haben. => speziell während TLS 1.0 und 1.1 Implementierungen kann gebrochen werden (und die Spezifikation erlaubt Sie sind auf diese Weise kaputt, was nicht gut ist), es ist nicht so schlimm wie SSL 3.0 die Spezifikation selbst wurde gebrochen und es gab keine Möglichkeit für eine konforme Implementierung, um es zu umgehen. Darüber hinaus ist das Deaktivieren von TLS 1.0 und 1.1 auf dem Server ein wesentlich schwierigeres Problem als das Deaktivieren von SSL 3.0 - Sie werden einen weitaus größeren Anteil Ihrer Benutzer betreffen. - Bob
Es scheint, dass primär die serverseitigen Implementierungen anfällig sind (?) - repariere deine TLS-Implementierung auf dem Server und du solltest in Ordnung sein (?) [Ich habe noch nicht genug untersucht, um zu bestätigen, dass Browser und andere Clients nicht betroffen sind , aber die Formulierung in Ihrem verknüpften Artikel und seine Quelle deuten darauf hin, dass]. - Bob


Ihre Einschätzung ist richtig. Clients müssen nach der Deaktivierung von SSL 3 neuere Protokolle verwenden, um eine Verbindung zu Ihrem Server herzustellen. Das SSL 3-Protokoll ist fehlerhaft und es wird keinen "Patch" geben. Deaktivieren von SSL 3 ist die einzige Lösung.

So viele Websites haben zu diesem Zeitpunkt SSL 3 deaktiviert, so dass es für Benutzer älterer Browser praktisch notwendig ist, ein Upgrade durchzuführen. Angenommen, Sie protokollieren User-Agent-Zeichenfolgen, können Sie Ihre Protokolle überprüfen und eine fundierte Entscheidung über das Deaktivieren von SSL 3 treffen. Ich denke, es ist wahrscheinlich, dass nur ein kleiner Prozentsatz der Besucher Ihrer Website Browser verwendet, die die neueren Protokolle nicht verarbeiten können.

[fwiw - cloudflare-Berichte 1,12% der Benutzer sind IE6 XP-Benutzer, die von SSLv3 abhängig sind]


27
2017-10-17 05:01



Es stimmt zwar, dass SSLv3 fehlerhaft ist und das einzige echt Lösung ist SSLv3 zu deaktivieren. Es gibt auch eine Milderung für den Pudelangriff, die SSLv3 nicht deaktivieren muss, wenn Sie die RC4-Chiffre für TLS 1.0-Clients akzeptieren können, da Pudel nur CBC-Moduschiffre (AES) beeinflusst. Ich habe es hier beschrieben: serverfault.com/q/637848/249649 - cypres
TLS_FALLBACK_SCSV Der Angriff für ältere Clients wird jedoch nicht gemildert. Es erlaubt nur älteren Clients, weiterhin das fehlerhafte Protokoll zu verwenden, während unerwünschte Protokollversionsherabstufungen für neuere Clients verhindert werden. Wenn SSLv3 für Clients aktiviert ist, wird der Datenverkehr potenziell für Angreifer offen gelegt. - Evan Anderson
RC4 mildert diesen Angriff für ältere Clients, nicht für SCSV. Wir verwenden RC4 jedoch nicht, weshalb ich empfehle, SSLv3 nach Möglichkeit zu deaktivieren. - cypres
@cypres - Yes-- 'TLS_FALLBACK_SCSV' hilft älteren Clients nicht. Ich würde argumentieren, dass die Verwendung einer Chiffre, die nachweislich schwerwiegende Schwächen aufweist, ebenfalls nicht hilfreich ist. Wir müssen dies zu einem "Flaggentag" machen, der SSL 3.0 aus dem Netz entfernt. Sicher - wenn Sie ältere Appliances, eingebettete Geräte usw. haben, die TLS in Ihrem Unternehmen nicht unterstützen, können Sie SSL 3.0 verwenden. Ich denke, es ist unverantwortlich, jemanden dazu zu ermutigen, weiterhin SSL 3.0 im öffentlichen Internet zu verwenden. - Evan Anderson
Heute habe ich SSLv3 in Firefox deaktiviert und erlaubt nur TLS und ich sehe eine Menge von SSL Verbindungsproblemen beim Surfen im Internet. Ich unterstütze Hunderte von Linux-Servern, auf denen sslv3 aktiviert ist. Ich kann falsch liegen, aber die ultimative Lösung für diese Situation ist, bis OS-Hersteller einen Patch veröffentlichen, so dass nichts auf Client-Seite getan werden sollte. Das Problem ist, dass Sie die Auswirkung nicht vorhersagen können. - sandeep.s85


Ja, durch die Deaktivierung von SSL3 können Benutzer, die TLS nicht unterstützen, nicht auf Ihre Website zugreifen.

Sehen Sie jedoch aus praktischer Sicht, welche Browser in diese Kategorie fallen. Chrome und Firefox unterstützen beide TLS und werden aufgrund dieses Fehlers sogar die SSL3-Unterstützung komplett einstellen. IE hat es seit IE7 unterstützt. Der einzige Browser, der keine Unterstützung bietet, aber immer noch global verwendet wird, ist IE6, und der einzige Grund, der noch verwendet wird, sind zwei Gründe:

  1. Jeder mit einer geknackten Version von XP und keine Möglichkeit, Chrome oder Firefox zu verwenden;
  2. Personen, die in Bezug auf Unternehmens- oder Regierungspolitik Beschränkungen hinsichtlich der Browserauswahl haben.

In beiden Fällen wird IE6 verwendet, da dies der Standard-Windows XP-Browser ist, der mit der ursprünglichen Installation geliefert wird. Der einzige Grund, warum IE6 immer noch einen (kleinen) Weltmarktanteil hat, liegt in den vielen Nutzern in China.

Kurz gesagt, hier sind 3 Fragen:

  1. Haben Sie eine bedeutende chinesische Nutzerbasis?
  2. Unterstützt Ihre Website IE6, obwohl es antiquiert und kaputt ist?
  3. Ist Ihre Website ein Produkt, das von einer Regierung oder einem Unternehmen mit eingeschränkten Browsereinschränkungen verwendet wird?

Wenn eine dieser drei Aussagen wahr ist, müssen Sie eine alternative Lösung finden. Wenn alle 3 falsch sind, deaktivieren Sie sie einfach und machen Sie damit fertig. Und wenn Sie die alternative Lösung benötigen, können Sie am ehesten davon überzeugen, dass ein kleiner Teil Ihrer Nutzer, die immer noch IE6 verwenden, von einem 13 Jahre alten Browser abschalten.


20
2017-10-17 09:52





Du erwähnst "Apache" und "Browser"In deiner Frage, aber der Titel ist allgemeiner.

Wie Evan und andere darauf hinweisen, ist das Problem für HTTPS alles andere als sortiert. Aber es gibt eine Reihe anderer Protokolle, die ein Server verschlüsseln könnte, und die TLS-Unterstützung ist bei dieser Kundenbasis viel ärmer (wie ich heute Morgen herausgefunden habe, als ich "no SSL3" auf einem IMAP / S-Server anforderte).

Ich fürchte also, die Antwort ist "Es hängt davon ab, welche Dienste Sie verschlüsseln, und die Client-Unterstützung für TLS in Ihrer Benutzerbasis".

Bearbeiten: Ja, das war mein Punkt, obwohl ich froh bin, dass Sie mir zustimmen. Das Ausschalten von sslv3 erfolgt auf Service-by-Service-Basis. Zum Beispiel ist die Art und Weise, um es auf Taubenschlag auszuschalten, zu setzen

ssl_cipher_list = ALL:!LOW:!SSLv2:!SSLv3:!EXP:!aNULL

im dovecot.conf. Das größere Problem ist, dass die meisten Browser zwar tolerant gegenüber dem Verlust von sslv3 sind, Clients anderer Dienste jedoch weniger tolerant sind. Ich habe heute Morgen etwa die Hälfte meiner Benutzer kaputt gemacht, als ich das auf dem Taubenschlag abgestellt habe; Android-Telefone mit K-9-Mail und Outlook auf Win7 sind zwei, die ich sicher kenne, aber ich kann aus meinen Logs sehen, dass es mehr gab.

Ausschalten von SSLv3 ist immer noch nicht nur eine gültige Lösung, es ist die nur Lösung; aber es wird weh tun.

Bearbeiten 2: Danke an dave_thompson_085, um darauf hinzuweisen, dass die Deaktivierung von SSLv3-Chiffren in Dovecot nicht nur das SSLv3-Protokoll, sondern auch TLSv1.0 und TLSv1.1 deaktiviert, da sie keine Chiffren haben, die das frühere Protokoll nicht hat. Dovecot (zumindest frühere Versionen, die die Version enthalten, die ich gerade ausführe) scheint nicht in der Lage zu sein, Protokolle zu konfigurieren, anstatt Chiffren. Dies erklärt wahrscheinlich, warum es so viele Kunden kaputt gemacht hat.


7
2017-10-17 11:49



Ich habe jetzt auch gelesen, dass dies nicht nur Auswirkungen auf die Webserver haben wird, sondern auf alle Server, die SSL nutzen, zB Webserver, LDAP Server, SSH Daemons, POP3 Server, SMTP Server. Für Webserver haben wir Konfiguration in Apache mod_ssl Konfigurationsdatei als SSLProtocol All -SSLv2 -SSLv3 Wir müssen uns auch andere Dienste anschauen, wie wir verhindern können, dass Client / Server SSLv3 verwendet - sandeep.s85
Der eigentliche POODLE - Angriff, wie in die Sicherheitsberatung, stützt sich auf eine faire Anzahl von Anfragen mit einer gewissen Kontrollmöglichkeit des Angreifers. Im Kontext von HTTPS und Browsern, das ist dank Scripting machbar, aber im Kontext von zB IMAPS bin ich nicht davon überzeugt, dass dies eine praktische Sache ist. Sicherlich ist es ideal, SSLv3 auf der ganzen Linie loszuwerden, aber ich bin mir nicht sicher, ob POODLE insbesondere für einige dieser Fälle relevant ist. - Håkan Lindqvist
Håkan, im Laufe der Zeit stimme ich immer mehr mit dir überein. - MadHatter
Deaktivierung Ziffern  !SSLv3 in openssl deaktiviert eigentlich alle Protokolle außer TLSv1.2, die für Ihre Kollegen möglicherweise nicht gut sind. Deshalb deaktivieren Sie die Protokoll ist besser, aber AFAICS nur in Dovecot 2.1+. Sehen Sicherheit.stackexchange.com/questions/71872/... . - dave_thompson_085
@ dave_thompson_085: wenn du sagst "Deaktivieren ... in openssl", meinst du "deaktivieren ... in dovecot"Wenn ja, stimme ich Ihnen zu, und ich werde meine Antwort im Lichte dieser Informationen ändern, wenn Sie wie gewünscht klären können. - MadHatter


Deaktivieren von SSLv3 ist das Beste Lösung, aber ich stimme nicht zu, es ist die einzige Lösung. Wie CloudFlare beschreibt, SSLv3-Nutzung ist sehr gering, also sollten die meisten Admins kein Problem damit haben, es auszuschalten.

Wenn Sie eine spezielle Anforderung für SSLv3 haben, müssen Sie IE6 unter Windows XP unterstützen, oder Sie müssen sehr alte Software unterstützen, da es eine andere Möglichkeit gibt, diese zu mindern.

Die Methode zur Reduzierung von SSLv3 besteht darin, RC4 zu verwenden und TLS Fallback SCSV zu unterstützen, das von OpenSSL 1.0.1j bereitgestellt wird. In dem Qualys post auf PudelRC4 ist die "bestimmte unsichere Stromchiffre, deren Namen niemand nennen will".

Dies ist, was Google auf mail.google.com tut, und sie beschreiben es auch in ihrem Blogeintrag: http://googleonlinesecurity.blogspot.se/2014/10/this-poodle-bites-exploiting-ssl-30.html


6
2017-10-17 15:58



Ich bin mir wirklich nicht sicher, was schlimmer ist. Ich lasse das System offen für Pudel oder herunterschalten auf RC4 ... - Brian Knoblauch
Clients, die TLS 1.1+ unterstützen, werden nicht auf RC4 heruntergeschaltet. Ich bin kein Experte, aber ich glaube, Pudel ist schlimmer. - cypres
Steht RC4 nicht im Wesentlichen für Raw Cleartext? - Hagen von Eitzen
Sicher scherzen Sie, aber heben Sie einen gültigen Punkt. Es ist nicht so schlimm kaputt, das ist eine wirklich gute Antwort auf diese Sicherheit: security.stackexchange.com/a/32498 - cypres


Ein Detail fehlt in der Konversation, basierend auf der ursprünglichen Frage könnte es eine gute Idee sein, es zu notieren. TLS 1.0 wird auch als SSL 3.1 bezeichnet, also Original-Poster, sollten Sie sich Ihre Konfiguration ansehen, laufen Sie v3.0 oder v3.1


2
2017-10-19 21:52





Wie bei den meisten Dingen lautet die Antwort "es kommt darauf an". Der einzige Browser in irgendeiner Art von "allgemeiner" Verwendung, der TLS nicht unterstützt, ist IE6. Leider sagen verschiedene Berichte, dass IE6 bis zu einigen Prozent der globalen HTTP-Anfragen sein kann (siehe: http://news.netcraft.com/archives/2014/10/15/googles-poodle- effects-oodles.html). Die gute Nachricht, wenn Sie in Nordamerika sind, ist, dass es in den USA relativ selten ist. Um sicher zu sein, sollten Sie sich die Statistik des Benutzeragenten aus Ihren www-Protokollen ansehen. In meinem Fall gab es so wenige IE6-Fingerabdrücke, dass ich annahm, dass sie alle aus Test-Tools stammten.

Sie können Ihre Website (n) mit dem Tester von ssllab testen, um zu sehen, wie verschiedene Agenten reagieren.

https://www.ssllabs.com/ssltest/

TL; DR - SSLv3 ist tot; es lebe TLS.


-3
2017-10-17 05:06



IE6 ist nicht die letzte Version, die mit XP kompatibel ist, es ist die Version, mit der XP ausgeliefert wurde. IE8 ist die letzte Version, die mit XP kompatibel ist. - Håkan Lindqvist
-1 wegen faktischer Unrichtigkeit, IE6 ist die neueste Version auf XP. - TomTom
may be as much as a few percent of global HTTP requests. Ich hätte gerne eine Quelle dafür. CloudFlare sagt dies über die Nutzung: In other words, even on an out-of-date operating system, 98.88% Windows XP users connected using TLSv1.0+ (blog.cloudflare.com/...). Das ist weit weniger als "ein paar Prozent" weltweit. - faker
Ich vermute cloudflares-Kunden sind meist große nordamerikanische Firmen. Die von mir zitierte Statistik stammt von netcraft: news.netcraft.com/archives/2014/10/15/ ... "Trotz seines Alters und dem Ende der Microsoft-Unterstützung für Windows XP ist IE6 weiterhin beliebt und macht mehr als 3,8% aller Internetbesuche weltweit und 12,5% in China aus. Diese Sicherheitsanfälligkeit könnte den Todesstoß für IE6 und Windows XP bedeuten." - Joshua Hoblitt