Come posso verificare che il protocollo SSLv3 sia disabilitato?

18

Sto cercando di disabilitare SSLv3 in ejabberd 2.1.10 su Ubuntu 12.04. Non c'è modo di disabilitarla nel file di configurazione, quindi devo patchare l'origine e ricostruire il pacchetto: link

Il problema è dopo l'applicazione delle patch e l'installazione, come posso verificare che SSLv3 protocol sia disabilitato? È un server privato, quindi non posso usare link .

So che possiamo usare openssl con l'opzione -ssl3 , qualcosa del genere:

openssl s_client -connect chat.local:5222 -starttls xmpp -ssl3

ma il fatto è: non riesco a disabilitare SSLv3 suite di crittografia : link :

Please note that while you can disable SSL version 3, you cannot disable "SSLv3 cipher suites" as there is no such thing, all SSLv3 cipher suites are used also by all TLS versions (TLS 1.1/1.2 just adds some new ones).

quindi il comando sopra mostra ancora il risultato:

New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : SSLv3
    Cipher    : AES256-SHA
    Session-ID:
    Session-ID-ctx:
    Master-Key: D1D474B68F6C4F59ED5E96963F94FAF078A0C5531A7841B1E0E34257925309A96EA2F25F59F65CCD151F05EB75BC935C
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1414072098
    Timeout   : 7200 (sec)
    Verify return code: 18 (self signed certificate)

Due domande:

  1. come può un correttore ssl online ( link , link , ...) può verificare se SSLv3 protocollo è disabilitato o no?
  2. C'è qualche rischio se il protocollo SSLv3 è disabilitato, ma le suite di crittografia SSLv3 sono abilitate per alcuni motivi (per es. OpenSSL su Ubuntu 12.04 disabilitato TLSv1.2, dobbiamo abilitare le suite di crittografia SSLv3 per far funzionare qualche strumento di monitoraggio)?
posta quanta 23.10.2014 - 19:19
fonte

5 risposte

16
SSL-Session:
   Protocol  : SSLv3
   Cipher    : AES256-SHA

Ovviamente il tuo server ha ancora SSLv3 abilitato. Se hai disabilitato con successo SSLv3 openssl s_client -ssl3 -connect ... dovresti ottenere qualcosa del tipo:

...SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1260:SSL alert number 40
...SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:596:
...
Protocol  : SSLv3
Cipher    : 0000

L'indicatore qui è che non ricevi alcun codice ("0000").

Per quanto riguarda gli stessi codici, non è necessario apportare modifiche.

    
risposta data 23.10.2014 - 19:38
fonte
10

solo per completezza:

testssl.sh è un bel strumento basato su console per controllare ssl-setup di qualsiasi server abilitato a ssl / ts, in oposite a ssllabs

    
risposta data 23.10.2014 - 21:01
fonte
7

Due modi che conosco:

Se hai Webinspect, hanno un controllo specifico per questo.

Il modo semplice è deselezionare tutti i protocolli in IE con l'eccezione di SSLv3 e vedere se ci si connette al sito Web.

    
risposta data 23.10.2014 - 19:56
fonte
7

Qualys ha uno strumento di test SSL che ti darà molte informazioni sulla tua connessione SSL. Puoi controllare la versione SSL supportata dal server nella sezione "Protocollo".

link

    
risposta data 23.10.2014 - 20:40
fonte
2

Lo script nmap 'ssl-enum-ciphers' è il modo in cui riesco a scoprire quali versioni e crittografie sono supportate. Il comando è "nmap -p 443 --script ssl-enum-ciphers"

L'output può anche essere inserito in un formato grepable.

link

    
risposta data 23.10.2014 - 21:16
fonte

Leggi altre domande sui tag