SSL3 Verwundbarkeit "Poodle"

Ich habe heute meine Kunden Informiert das heute Abend alle Service die noch SSLv3 verwenden angepasst werden....

Das sollte e kein Problem sein und all diejenigen die den IE6 heute noch verwenden ganz andere Probleme haben...
 
SSL3 ist schon länger nicht mehr auf von mir eingerichteten Diensten erlaubt, wer kein TLS kann, hat Pech gehabt und sollte sich einen neueren Browser/Mail/FTP-Client zu legen.
 
Wird bei mir schon seit 2009 nicht mehr unterstützt...

Und die IE-Basher mögen sich mal besser informieren, denn der IE6 beherscht TLS1.0 OOTB, er präferiert lediglich SSLv3. SSLv3 lässt sich dort in den Optionen so gar deaktivieren, ebenfalls OOTB. Gilt Beides auch für OE6.
 
Gibt es irgendwie eine anständige Anleitung zum Abschalten die auch auf Debian 6 und Plesk 12 Funktioniert?

Jedes mal wen ich den Test auf der Seite https://www.ssllabs.com/ssltest/ laufen lasse sagt er mir das SSLv3 Aktiv ist.

In der Plesk Konfiguration unter

Domain -> Additional Apache directives -> Additional directives for HTTPS

Das eingetragen : SSLProtocol all -SSLv2 -SSLv3

und bei Additional nginx directives : ssl_protocols TLSv1.2 TLSv1.1 TLSv1;
 
In der httpd.conf muss am Ende das stehen:
Code: 
    SSLCompression Off
    SSLHonorCipherOrder On
    SSLProtocol -ALL +TLSv1 +TLSv1.2
    SSLCipherSuite "EECDH+AES256 EECDH+AES128 EDH+AES256 EDH+AES128 !CAMELLIA !RC4 !3DES !IDEA !SEED !PSK !SRP !DSS !eNULL !aNULL !LOW !EXP"
Dann ist es richtig.

Was Du dafür bei Pest^WPlesk eintragen musst, werden Dir die Plesk-Admins und/oder die Plesk-Doku sagen können.
 
Last edited by a moderator:
SSL3 bei Plesk Panel 12.0.18 deaktivieren:

1. Datei /etc/sw-cp-server/conf.d/ssl_plesk.inc erzeugen mit Inhalt:
Code: 
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA !RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS";
ssl_prefer_server_ciphers on;
2. In der Shell
service sw-cp-server restart
3. mit openssl testen:
openssl s_client -ssl3 -connect localhost:8443

Dann sollte kein Connect mehr mit SSL3 möglich sein.




Test mit cnark liefert dann:
cnark.pl -h ***********.de -p 8443
CryptoNark v0.5.5
Using OpenSSL Version: OpenSSL 1.0.1e - Released Feb 11 2013

Testing SSLv2 Ciphers...

Testing SSLv3 Ciphers...

Testing TLSv1 Ciphers...
ECDHE-RSA-AES256-SHA -- 256 bits, High Encryption, Forward Secrecy
DHE-RSA-AES256-SHA -- 256 bits, High Encryption, Forward Secrecy
ECDHE-RSA-AES128-SHA -- 128 bits, High Encryption, Forward Secrecy
DHE-RSA-AES128-SHA -- 128 bits, High Encryption, Forward Secrecy

Testing TLSv1.2 Ciphers...
ECDHE-RSA-AES256-GCM-SHA384 -- 256 bits, High Encryption, Forward Secrecy
ECDHE-RSA-AES256-SHA384 -- 256 bits, High Encryption, Forward Secrecy
DHE-RSA-AES256-GCM-SHA384 -- 256 bits, High Encryption, Forward Secrecy
DHE-RSA-AES256-SHA256 -- 256 bits, High Encryption, Forward Secrecy
ECDHE-RSA-AES128-GCM-SHA256 -- 128 bits, High Encryption, Forward Secrecy
ECDHE-RSA-AES128-SHA256 -- 128 bits, High Encryption, Forward Secrecy
DHE-RSA-AES128-GCM-SHA256 -- 128 bits, High Encryption, Forward Secrecy
DHE-RSA-AES128-SHA256 -- 128 bits, High Encryption, Forward Secrecy

 
Last edited by a moderator:
CONNECTED(00000003)
10593:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1108:SSL alert number 40
10593:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:545:
Click to expand...

wen ich das so mache kommt das dabei raus und der obengenannte test auf der Webseite sagt jetzt

SSL 3 INSECURE Yes
SSL 2 YesD
(D) Protocol is supported, but with all cipher suites disabled
 
Genau das was du vorgeschlagen hast.

SSL3 bei Plesk 12.0.18 deaktivieren:

1. Datei /etc/sw-cp-server/conf.d/ssl_plesk.inc erzeugen mit Inhalt:
Code:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA !RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS";
ssl_prefer_server_ciphers on;

2. In der Shell
service sw-cp-server restart
3. mit openssl testen:
openssl s_client -ssl3 -connect localhost:8443

Dann sollte kein Connect mehr mit SSL3 möglich sein.
Click to expand...
 
@maiki
Wo ist das Problem? Verbindung mit SSL3 schlägt doch fehl, was es auch soll!
Das Pleskpanel ist nur noch über TLS zu erreichen.

Und wie testest du das auf welcher Website, dass SSL3 verbindet?
 
ah ok alles klar,

Plesk reagiert nicht mehr mit SSLv3 aber alle Webseiten die auf dem Server laufen leider ja.

Meine Frage war ja SSLv3 komplett für den ganzen Server abzuschalten
 
Wenn du Apache für sichere VBerbindungen verwendest:
1. Erzeuge eine Datei /etc/apache2/conf.d/zzz_ssl.conf
2. Befülle sie mit:
Code: 
<IfModule mod_ssl.c>
SSLCipherSuite  TLSv1:ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AES:!SSLv2:!LOW:!aNULL:!ADH:!AECDH:!DES:!3DES:!MD5:!RC4:!EXP:!eNULL

SSLHonorCipherOrder on

SSLProtocol all -SSLv3 -SSLv2

</IfModule>
3. Starte Apache neu
 
GwenDragon said:
Wenn du Apache für sichere VBerbindungen verwendest:
1. Erzeuge eine Datei /etc/apache2/conf.d/zzz_ssl.conf
2. Befülle sie mit:
Code: 
<IfModule mod_ssl.c>
SSLCipherSuite  TLSv1:ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AES:!SSLv2:!LOW:!aNULL:!ADH:!AECDH:!DES:!3DES:!MD5:!RC4:!EXP:!eNULL

SSLHonorCipherOrder on

SSLProtocol all -SSLv3 -SSLv2

</IfModule>
3. Starte Apache neu
Click to expand...


Super das war schon mal das richtige.

Wie sieht das den aus wen man den ngnix auch installiert hat ? Also wo muss man da das SSlv3 Deaktivieren?
 
Für Nginx auf Plesk-12-Umgebung musst du leider eigene Templates für die Domain-Konfigurationen erzeugen/ändern.

So ausm Kopf, mangels installiertem nginx.

mkdir /usr/local/psa/admin/conf/templates/custom/
cp /opt/psa/admin/conf/templates/default/server/nginxVhosts.php /usr/local/psa/admin/conf/templates/custom/server/
cp /opt/psa/admin/conf/templates/default/domain/nginxDomainVirtualHost.php /opt/psa/admin/conf/templates/custom/domain/

Dann die Änderungen in den zwei kopierten Dateien die alten Einträge ersetzen druch:
Code: 
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA !RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS";
ssl_prefer_server_ciphers on;

Und danach die Konfig neu einlesen lassen.
/usr/local/psa/admin/sbin/websrvmng --reconfigure-all
und Nginx + Apache neustarten

PS: Leider ist eine globale Konfiguration nicht so einfach möglich, wenn Nguinx + Plesk 12.
Ich hatte deswegen for längerem nginx deinstalliert, weil mir die Konfiguration (nicht nur bei SSL, sondern auch bei Headern etc) zu nervig war.
 
Last edited by a moderator:
Die derzeit bei diversen Distries verteilte OpenSSL-Updates (SCSV verhindert Protokoll-Downgrade) sollte den Pudel killen. Ist für OpenSSL 1.x sowie OpenSSL 0.9.8 (wird ab 12-2015 nicht mehr seitens OpenSSL-Devs unterstützt). Keine Ahnung ob es da Backports für 0.9x geben wird.
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top