Vraag Poodle: Is het uitschakelen van SSL V3 op de server echt een oplossing?


Ik heb de hele dag door gelezen over de Poodle-kwetsbaarheid en ben nu een beetje in de war vergeleken met Security en Revenue.

Als ik SSL V3 uitschakel op Server (SSL V2 en V3 worden beide uitgeschakeld voor Apache) -clients (browsers) die geen protocol ondersteunen, maar SSL V3 kan geen verbinding maken met HTTPS met de server.

Het is dus een situatie waarin zowel de client als de server moeten communiceren met TLS 1.1 1.2 enzovoort

Als een van hen SSL V3 gebruikt en de andere geen lagere versies ondersteunt, wat gebeurt er dan? Geen verbinding met SSL.

Ik heb weinig updates in Firefox gezien, misschien hebben ze de SSL V3 uitgeschakeld in wat we meestal in opties moeten doen. Hierdoor wordt alle verbinding met lagere versies en TLS geforceerd

Maar is het uitschakelen van SSL V3 echt een oplossing voor dit probleem?


40
2017-10-17 04:54


oorsprong


Wat bedoel je met "Hierdoor wordt alle verbinding met lagere versies en TLS geforceerd"? SSLv1 en SSLv2 zijn lange tijd uitgeschakeld omdat ze zijn verbroken. SSLv3 is afgekeurd maar bleef in veel gevallen ingeschakeld om oudere software te ondersteunen. Waarnaar verwijst de lagere versie? TLSv1.0, v1.1, v1.2, ... zijn latere standaarden en kunnen worden beschouwd als "hogere versie SSL", alleen de versienummers werden gereset met de naamswijziging. - Håkan Lindqvist
Hallo, dus wat ik tot nu toe heb begrepen is: als ik SSL V3 en V2 op Server uitschakel zoals aanbevolen door Red Hat, dan is de beveiligde verbinding op TLS-protocol. En als de browsers met TLS bellen met de server, is er geen probleem in beveiligde verbindingen. Ik heb niet de exacte informatie over het verschil tussen SSL en TLS-versies. - sandeep.s85


antwoorden:


Laten we eerst een beetje ophelderen:

  • TLS vervangt SSL. TLS 1.0 kwam erna en is een update voor SSL 3.0.

    TLS 1.2> TLS 1.1> TLS 1.0> SSL 3.0> SSL 2.0> SSL 1.0

  • SSL-versies van vóór 3.0 hadden al een tijdje ernstige beveiligingskwetsbaarheden gekend en zijn uitgeschakeld / niet ondersteund door moderne clients en servers. SSL 3.0 zal waarschijnlijk binnenkort hetzelfde gaan.

  • Van de momenteel gebruikte protocollen heeft "Poedel" de grootste invloed op SSL 3.0, waar er geen manier is om te beperken. Er is een soortgelijke aanval tegen sommige TLS 1.0 en 1.1 implementaties die de specificatie toestaat - zorg ervoor dat uw software up-to-date is.


Nu is de reden dat "Poodle" een risico is, zelfs met moderne clients en servers, te wijten aan de implementatie door de klant van een fallback-mechanisme. Niet alle servers ondersteunen de nieuwste versies, dus clients zullen elke versie proberen in de volgorde van meest tot minst recent (TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0) totdat deze een oplossing vindt die de server ondersteunt. Dit gebeurt voor versleutelde communicatie begint, dus een man-in-the-middle (MITM) -aanvaller kan de browser dwingen om terug te vallen naar een oudere versie, zelfs als de server een hogere versie ondersteunt. Dit staat bekend als een protocol downgrade-aanval.

Specifiek, in het geval van "Poodle", zolang zowel de client als de server SSL 3.0 ondersteunen, kan een MITM-aanvaller het gebruik van dit protocol afdwingen.

Dus als u SSL 3.0 uitschakelt, heeft dit twee effecten:

  • Cliënten die hogere versies ondersteunen, kunnen niet misleid worden om terug te vallen naar de kwetsbare versie (TLS Fallback SCSV is een nieuw voorgesteld mechanisme om een ​​protocol downgrade-aanval te voorkomen, maar niet alle clients en servers ondersteunen dit nog). Dit is de reden waarom u SSL 3.0 wilt uitschakelen. De overgrote meerderheid van uw klanten valt waarschijnlijk in deze categorie, en dit is gunstig.

  • Cliënten dat Niet doen TLS helemaal ondersteunen (zoals anderen al hebben gezegd, IE6 op XP is vrijwel de enige die nog steeds wordt gebruikt voor HTTPS) kan helemaal geen verbinding maken via een gecodeerde verbinding. Dit is waarschijnlijk een klein deel van uw gebruikersbasis en het is niet de moeite waard om de veiligheid van de meerderheid op te offeren die up-to-date is om tegemoet te komen aan deze minderheid.


53
2017-10-17 11:41



Hallo Bob, dit is Alice hier. Zoals je uitleg over hoe Mallet gebruik kan maken van Poodle. - BatteryBackupUnit
+1 Wist niet van de protocol downgrade-aanval. - developerwjk
BIJWERKEN: "...everything less than TLS 1.2 with an AEAD cipher suite is cryptographically broken, including many implementations which conform to current specifications."  zdnet.com/article/poodle-not-fixed-some-tls-systems-vulnerable - BlueCacti
@Ground Zero > Maar het blijkt dat sommige TLS-implementaties nog steeds de opvullende bytes niet controleerden, ondanks het vermogen om dit te doen. => specifiek, terwijl TLS 1.0 en 1.1 implementaties kan worden verbroken (en de spec toestaat om op deze manier te worden gebroken, wat niet goed is), is het niet zo erg als SSL 3.0 waar de specificatie zelf was kapot en er was geen manier voor een conformerende implementatie om er omheen te werken. Ook is het uitschakelen van de TLS 1.0- en 1.1-ondersteuning op de server een veel moeilijker probleem dan het uitschakelen van SSL 3.0 - u zult een veel groter deel van uw gebruikers beïnvloeden. - Bob
Het lijkt erop dat het vooral de implementaties aan de serverzijde zijn die kwetsbaar zijn (?) - repareer uw TLS-implementatie op de server, en het zou goed moeten () [Ik heb dit niet voldoende onderzocht om te bevestigen dat browsers en andere clients niet worden beïnvloed , maar de bewoording in uw gelinkte artikel en de bron suggereren dat]. - Bob


Je beoordeling is correct. Cliënten zullen nieuwere protocollen moeten gebruiken om verbinding te maken met uw server zodra u SSL 3 uitschakelt. Het SSL 3-protocol is gebrekkig en er zal geen "patch" zijn. Het uitschakelen van SSL 3 is de enige oplossing.

Zoveel sites hebben SSL 3 op dit moment uitgeschakeld, om het vrijwel onvermijdelijk te maken dat gebruikers van oudere browsers een upgrade moeten uitvoeren. Ervan uitgaande dat u user agent-reeksen registreert, kunt u uw logbestanden bekijken en een weloverwogen beslissing nemen over het uitschakelen van SSL 3. Ik denk dat het waarschijnlijk is dat slechts een klein percentage van de bezoekers van uw site browsers gebruikt die de nieuwere protocollen niet aankunnen.

[fwiw - cloudflare meldt dat 1.12% van de gebruikers IE6 XP-gebruikers zijn, afhankelijk van SSLv3]


27
2017-10-17 05:01



Hoewel het klopt dat SSLv3 gebrekkig is, en het enige echt oplossing is om SSLv3 uit te schakelen. Er is ook een beperking voor de poedelaanval die geen deactivering van SSLv3 vereist, als je het RC4-cijfer voor TLS 1.0-clients kunt accepteren, omdat poedel alleen van invloed is op CBC-moduscodes (AES). Ik heb het hier beschreven: serverfault.com/q/637848/249649 - cypres
TLS_FALLBACK_SCSV is echter niet bedoeld om de aanval voor oudere klanten te verminderen. Het staat oudere klanten gewoon toe het gebrekkige protocol te blijven gebruiken en ongewenst downgrades van protocolversies voor nieuwere clients te voorkomen. Uiteindelijk zorgt het achterlaten van SSLv3 voor alle clients ervoor dat hun verkeer mogelijk wordt blootgesteld aan aanvallers. - Evan Anderson
RC4 verzacht deze aanval voor oudere klanten, niet voor scsv. Maar we gebruiken liever geen RC4, daarom raad ik aan SSLv3 zo mogelijk uit te schakelen. - cypres
@cypres - Ja-- 'TLS_FALLBACK_SCSV' helpt geen oudere klanten. Ik zou zeggen dat het gebruik van een cipher waarvan is aangetoond dat deze ernstige tekortkomingen heeft, ook niet helpt. We moeten dit een "vlagdag" laten zijn die SSL 3.0 uit het internet elimineert. Zeker, als u oudere apparaten, ingesloten apparaten enz. Heeft die TLS niet ondersteunen in uw onderneming, dan kunt u SSL 3.0 gebruiken. Ik vind het echter onverantwoord om iedereen aan te moedigen SSL 3.0 te blijven gebruiken op het openbare internet. - Evan Anderson
Vandaag heb ik SSLv3 op Firefox uitgeschakeld en alleen TLS toegestaan ​​en zie ik behoorlijk veel ssl-verbindingsproblemen tijdens het browsen op websites op internet. Ik ondersteun honderden Linux-servers waarop sslv3 is ingeschakeld. Ik heb het misschien mis, maar de ultieme oplossing voor deze situatie is dat OS-leveranciers een patch vrijgeven zodat er niets aan de kant van de klant moet gebeuren. Het probleem is dat je de impact niet kunt voorspellen. - sandeep.s85


Ja, het uitschakelen van SSL3 zorgt ervoor dat gebruikers die geen ondersteuning bieden voor TLS geen toegang hebben tot uw website.

Bekijk echter vanuit praktisch oogpunt welke browsers in die categorie vallen. Chrome en Firefox ondersteunen beide TLS en zelfs SSL3-ondersteuning volledig te laten vallen als gevolg van deze bug. IE heeft het ondersteund sinds IE7. De enige browser die geen ondersteuning heeft, maar nog steeds op wereldwijde schaal wordt gebruikt, is IE6 en de enige reden die nog steeds wordt gebruikt, is 2 redenen:

  1. Iedereen met een gebarsten versie van XP en geen manier om Chrome of Firefox te gebruiken;
  2. Iedereen met een bedrijfs- of overheidsbeleid met beperkingen met betrekking tot de browser.

In beide gevallen wordt IE6 gebruikt omdat dit de standaard Windows XP-browser is die bij de oorspronkelijke installatie wordt geleverd. Bovendien is de enige reden waarom IE6 nog steeds een (klein) wereldwijd marktaandeel heeft, te danken aan de vele gebruikers in China.

Dus, lang verhaal kort: hier zijn 3 vragen:

  1. Heb je een belangrijke Chinese gebruikersbasis?
  2. Biedt uw website ondersteuning voor IE6, ook al is deze verouderd en verbroken?
  3. Is uw website een product dat wordt gebruikt door een overheid of onderneming met beperkingen voor de browserkeuze?

Als een van deze drie waar is, moet u een alternatieve oplossing vinden. Als alle 3 false zijn, schakel je het gewoon uit en doe je het af. En als je de alternatieve oplossing nodig hebt, doe je dat dan het moeilijkst om dat kleine deel van je gebruikersbasis dat nog steeds IE6 gebruikt om weg te schakelen van een 13-jarige browser, te overtuigen.


20
2017-10-17 09:52





U noemt "Apache"en"browsers"in je vraag, maar de titel is algemener.

Zoals Evan en anderen opmerken, is het probleem all-maar-gesorteerd voor HTTPS. Maar er zijn een aantal andere protocollen die een server kan versleutelen, en TLS-ondersteuning is veel armer onder die client-database (zoals ik vanochtend te weten kwam toen ik "geen SSL3" op een IMAP / S-server machtigde).

Dus ik ben bang dat het antwoord is "het hangt af van welke services u versleutelt, en de clientondersteuning voor TLS onder uw gebruikersbestand".

Bewerk: ja, dat was mijn punt, maar ik ben blij dat u het daarmee eens bent. Het uitschakelen van sslv3 gebeurt op basis van service-per-service. De manier om het uit te schakelen bij dovecot is bijvoorbeeld om te zetten

ssl_cipher_list = ALL:!LOW:!SSLv2:!SSLv3:!EXP:!aNULL

in dovecot.conf. Het grotere probleem is dat, hoewel de meeste browsers tolerant zijn ten aanzien van het verlies van sslv3, clients van andere services een stuk minder tolerant lijken te zijn. Ik brak vanmorgen ongeveer de helft van mijn gebruikers toen ik dat uitdeden op duiventil; Android-telefoons met K-9 mail en Outlook op Win7 zijn twee die ik zeker weet, maar ik kan aan de hand van mijn logs zien dat er meer waren.

Het uitschakelen van SSLv3 is nog steeds niet alleen een geldige oplossing, het is ook het enkel en alleen oplossing; maar het gaat pijn doen.

Bewerk 2: bedankt aan dave_thompson_085 voor erop wijzend dat het uitschakelen van SSLv3-coderingen in dovecot niet alleen het SSLv3-protocol maar ook TLSv1.0 en TLSv1.1 uitschakelt, omdat ze geen cijfers hebben die het eerdere protocol niet bevat. Dovecot (tenminste, eerdere versies, waaronder degene die ik gebruik) lijkt de mogelijkheid te missen om protocollen te configureren in plaats van ciphersuites. Dit verklaart waarschijnlijk waarom het zo veel klanten heeft gebroken.


7
2017-10-17 11:49



Ik heb nu ook gelezen dat dit niet alleen gevolgen heeft voor de webservers, maar voor elke service die op de server draait die gebruikmaakt van SSL, dwz webservers, LDAP-servers, SSH-daemons, POP3-servers, SMTP-servers. Dus voor webservers hebben we Configuration in Apache mod_ssl configuratiebestand als SSLProtocol All -SSLv2 -SSLv3 We moeten ook kijken naar andere diensten over hoe we voorkomen dat client / server SSLv3 gebruikt - sandeep.s85
De daadwerkelijke POODLE-aanval, zoals beschreven in het beveiligingsadvies, vertrouwt op een redelijk aantal verzoeken die met enige vaardigheid van controle van de aanvaller zijn gedaan. In de context van HTTPS en browsers is dat mogelijk dankzij scripting, maar in de context van bijv. IMAPS ben ik er niet van overtuigd dat dit praktisch is om te doen. Over de hele linie van SSLv3 af raken is natuurlijk ideaal, maar ik ben er gewoon niet zeker van of vooral POODLE relevant is voor sommige van deze andere gevallen. - Håkan Lindqvist
Håkan, naarmate de tijd verstrijkt, ben ik meer en meer in overeenstemming met jou. - MadHatter
uitschakelen cijfers  !SSLv3 in openssl schakelt eigenlijk alle protocollen uit behalve TLSv1.2, wat misschien niet goed is voor uw leeftijdsgenoten. Dit is de reden waarom het uitschakelen van de protocol is beter, maar AFAICS alleen in duiventil 2.1+. Zien security.stackexchange.com/questions/71872/... . - dave_thompson_085
@ dave_thompson_085: wanneer je zegt "uitschakelen ... in openssl", bedoel je "uitschakelen ... in duiventrap"? Zo ja, dan ben ik het met u eens en zal ik mijn antwoord in het licht van deze informatie wijzigen, als u kunt verduidelijken zoals gevraagd. - MadHatter


SSLv3 uitschakelen is de het beste oplossing, maar ik ben het er niet mee eens dat dit de enige oplossing is. Zoals CloudFlare beschrijft, SSLv3-gebruik is erg laag, dus de meeste beheerders zouden er geen problemen mee hebben om het uit te schakelen.

Als u een specifieke vereiste hebt voor SSLv3, moet u misschien IE6 op Windows XP ondersteunen of moet u zeer oude software ondersteunen, maar er is nog een andere manier om dit te verzachten.

De manier om het te beperken en SSLv3 te behouden, is door RC4 te gebruiken en TLS Fallback SCSV te ondersteunen, dat wordt geleverd door OpenSSL 1.0.1j. In de qualys-bericht op poedel, RC4 is het "zekere onveilige stroomcijfer wiens naam niemand wil noemen".

Dit is wat Google op mail.google.com doet en ze beschrijven het ook in hun blog: http://googleonlinesecurity.blogspot.se/2014/10/this-poodle-bites-exploiting-ssl-30.html


6
2017-10-17 15:58



Ik weet echt niet zeker wat erger is, het systeem open laten staan ​​voor Poodle of terugschakelen naar RC4 ... - Brian Knoblauch
Clients die TLS 1.1+ ondersteunen, schakelen niet terug naar RC4. Ik ben geen expert, maar ik geloof dat poedel erger is. - cypres
Bestaat RC4 niet voor Raw Cleartext? - Hagen von Eitzen
Je maakt toch een grapje, maar haal een geldig punt naar voren. Het is niet zo erg gebroken, dit is echt een goed antwoord hierop bij de beveiliging: security.stackexchange.com/a/32498 - cypres


Eén detail ontbreekt in het gesprek, op basis van de oorspronkelijke vraag kan het een goed idee zijn om het op te merken. TLS 1.0 wordt ook SSL 3.1 genoemd, dus originele poster, u moet naar uw configuratie kijken, gebruikt u v3.0 of v3.1


2
2017-10-19 21:52





Zoals met de meeste dingen, is het antwoord "het hangt ervan af". De enige browser in een "algemeen" gebruik dat TLS niet ondersteunt, is IE6. Helaas zeggen verschillende rapporten dat IE6 misschien wel een paar procent van de wereldwijde HTTP-verzoeken is (zie: http://news.netcraft.com/archives/2014/10/15/googles-poodle-affects-oodles.html). Het goede nieuws, als je in Noord-Amerika bent, is dat het relatief ongebruikelijk is in de VS. Om veilig te zijn, moet u de statistieken van gebruikersagenten bekijken vanuit uw www-logbestanden. In mijn geval waren er zo weinig IE6 ua-vingerafdrukken waarvan ik aannam dat ze allemaal van testtools afkomstig waren.

U kunt uw website (s) testen met de tester van ssllab om te zien hoe verschillende agents reageren.

https://www.ssllabs.com/ssltest/

TL; DR - SSLv3 is dood; lang leve TLS.


-3
2017-10-17 05:06



IE6 is niet de laatste versie die compatibel is met XP, het is de versie waarmee XP is meegeleverd. IE8 is de laatste versie die compatibel is met XP. - Håkan Lindqvist
-1 vanwege onjuistheden in feit dat IE6 de nieuwste versie is op xp. - TomTom
may be as much as a few percent of global HTTP requests. Ik zou daar een bron voor willen hebben. CloudFlare zegt dit over gebruik: In other words, even on an out-of-date operating system, 98.88% Windows XP users connected using TLSv1.0+ (blog.cloudflare.com/...). Dat is wereldwijd veel minder dan 'een paar procent'. - faker
Ik vermoed dat cloudflares-klanten meestal grote Noord-Amerikaanse bedrijven zijn. De geciteerde ik kwam van Netcraft: news.netcraft.com/archives/2014/10/15/... "Ondanks zijn leeftijd en het einde van de Microsoft-ondersteuning voor Windows XP, blijft IE6 populair, goed voor meer dan 3,8% van alle webbezoeken wereldwijd en 12,5% in China, wat de doodsteek voor IE6 en Windows XP kan betekenen." - Joshua Hoblitt