在主流浏览器中禁用 SSLv3

tag-icon tag-icon browser ssl tls
在主流浏览器中禁用 SSLv3

正如问题所暗示的:如何禁用对 SSL 版本 3 的支持并将 TLS 版本 1 设置为支持的最低(最旧)协议以防御 POODLE。

可以使用以下方式测试浏览器这个测试

基本上,我还没有找到针对 Safari 的解决方案。

答案1

我发布了一篇博客,介绍如何在一些最常见的浏览器和服务器平台中禁用 SSLv3:https://scotthelme.co.uk/sslv3-goes-to-the-dogs-poodle-kills-off-protocol/

以下是关键细节。

如何保护你的服务器

解决 POODLE 问题最简单、最可靠的方法是禁用服务器上的 SSLv3 支持。但这也带来了一些问题。对于网络流量,有些旧系统无法连接 SSLv3 以外的任何系统。例如,使用 IE6 和未安装 SP3 的 Windows XP 安装的系统将无法再与任何放弃 SSLv3 的网站通信。根据 CloudFlare 发布的数据,他们已在其所有客户中完全禁用了 SSLv3,只有一小部分网络流量会受到影响,因为 98.88% 的 Windows XP 用户使用 TLSv1.0 或更高版本进行连接。

阿帕奇

要在 Apache 服务器上禁用 SSLv3,您可以使用以下命令进行配置。

SSLProtocol All -SSLv2 -SSLv3

这将为您提供对 TLSv1.0、TLSv1.1 和 TLSv1.2 的支持,但明确删除对 SSLv2 和 SSLv3 的支持。检查配置,然后重新启动 Apache。

apachectl configtest

sudo service apache2 restart

NginX

在 NginX 上禁用 SSLv3 支持也非常简单。

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

与上面的 Apache 配置类似,您将获得 TLSv1.0+ 支持,但没有 SSL。您可以检查配置并重新启动。

sudo nginx -t

sudo service nginx restart

互联网信息服务

这需要一些注册表调整和服务器重新启动,但仍然不是那么糟糕。Microsoft 有一篇包含所需信息的支持文章,但您需要做的就是修改/创建注册表 DWORD 值。

HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

在协议内部,您很可能已经有一个 SSL 2.0 密钥,因此如果需要,请在其旁边创建 SSL 3.0。在该密钥下创建一个服务器密钥,并在其中创建一个 DWORD 值,名为 Enabled,值为 0。完成后,重新启动服务器以使更改生效。

IIS 设置

如何检查你的服务器

测试与 SSL 设置相关的任何内容的最简单且可能最广泛使用的方法是Qualys SSL 测试。只需导航到该网站,输入您要测试的网站域名,然后点击提交即可开始测试。

Qualys 检查域

测试完成后,您将获得一份详细的结果摘要,并在页面下方看到大量详细信息。具体来说,您需要在“配置”部分查看支持的协议。

检查协议

您在这里想要看到的是,您不支持 SSL 协议。您早就应该禁用 SSLv2.0,现在我们也刚刚删除了 SSLv3.0。支持 TLSv1.0 或更高版本足以支持绝大多数互联网用户,而不会让任何人面临不必要的风险。

如何保护你的浏览器

您还可以通过禁用浏览器中的 SSLv3 支持来保护自己免受 POODLE 攻击。这意味着即使服务器确实提供 SSLv3 支持,您的浏览器也不会使用它,即使在协议降级攻击期间也是如此。

火狐

Firefox 用户可以在地址栏中输入 about:config,然后在搜索框中输入 security.tls.version.min。这将显示需要从 0 更改为 1 的设置。现有设置允许 Firefox 在可用且需要时使用 SSLv3。通过更改设置,您将强制 Firefox 仅使用 TLSv1.0 或更高版本,这些版本不易受到 POODLE 攻击。

Firefox 设置

铬合金

Chrome 用户在 GUI 中没有禁用 SSLv3 的选项,因为 Google 删除了该选项,原因是他们不清楚 SSLv3 和 TLSv1 哪个更好,哪个数值更高。相反,您可以添加命令行标志 --ssl-version-min=tls1 来强制使用 TLS 并阻止使用 SSL 协议的任何连接。在 Windows 中,右键单击您的 Chrome 快捷方式,点击“属性”,然后添加命令行标志,如下图所示。

Chrome 设置

如果您在 Mac、Linux、Chrome OS 或 Android 上使用 Google Chrome,则可以按照以下说明操作这里

IE浏览器

修复 Internet Explorer 也相当容易。转到“设置”、“Internet 选项”,然后单击“高级”选项卡。向下滚动直到看到“使用 SSL 3.0”复选框,然后取消选中它。

IE 设置

如何检查你的浏览器

如果你想检查你的浏览器是否确实删除了 SSLv3.0 支持,可以使用以下几个网站。如果你访问https://zmap.io/sslv3/在浏览器中启用 SSLv3 后,您将在 Chrome 中看到我收到的警告消息,因为我尚未禁用 SSLv3。为了再次检查网站是否按预期运行,我在 Internet Explorer 中禁用了 SSLv3 支持,并在其中打开了网站。您可以在这里看到差异。

Chrome 和 IE 测试

您也可以尝试https://www.poodletest.com/与 Zmap 一起。

答案2

Opera 12.16(Linux 和 Windows)

  1. 转到 opera:config#SecurityPrefs|EnableSSLv3
  2. 取消选中Enable SSL v3

  3. 点击节省并重新启动 Opera

    Linux Opera 配置
    点击放大

答案3

在不久的将来,预计所有主流浏览器将不再默认启用 SSL3 支持。在此之前,建议用户根据所用浏览器采取措施。

火狐

前往about:config(在 URL 栏中输入)并搜索security.tls.version.min。搜索security.tls.version.min并将其值设置为1

或者,您可以使用Mozilla 的附加组件可执行相同的操作(无需重新启动)

铬合金

使用附加参数启动它--ssl-version-min=tls1

MAC 操作系统的用户可以通过终端执行此操作

打开 /Applications/Google\ Chrome.app --args --ssl-version-min=tls1

歌剧

查看 frogstarr78 的回答

苹果浏览器

来自@itscooper 的评论:

Apple 的安全更新 2014-005 确实解决了 POODLE 问题,但它并没有完全禁用使用 CBC 的 SSL3。它“在 TLS 连接尝试失败时禁用”CBC 密码套件。本质上,如果攻击者试图将连接从 TLS 降级到 SSL 3(这预计是主要的攻击媒介),那么易受攻击的密码将被禁用。浏览器测试无法真正检查这一点。

IE浏览器

  1. 在工具菜单上,单击“Internet 选项”。
  2. 单击“高级”选项卡。
  3. 在安全类别中,取消选中使用 SSL 3.0 并检查 TLS 版本。
  4. 点击确定,退出并重启浏览器

相关内容