SSLv3 сломан
С появлением POODLE все наборы шифров, используемые SSLv3, были скомпрометированы, и протокол следует считать непоправимым нарушением.
Веб-сайты
Вы можете проверить, доступен ли ваш сайт через SSLv3, с помощью curl(1)
:
curl -v -3 -X HEAD https://www.example.com
В -v
аргумент включает многословный вывод, -3
силы свернуться использовать SSLv3, и -X HEAD
ограничивает выход на успешное подключение.
Если вы не уязвимы, вы не сможете подключиться, и ваш вывод должен выглядеть примерно так:
* SSL peer handshake failed, the server most likely requires a client certificate to connect
Если вы уязвимы, вы должны увидеть нормальный вывод соединения, включая строку:
* SSL 3.0 connection using SSL_NULL_WITH_NULL_NULL
Другие услуги
Это не просто веб-сайты, которые доступны через SSL. Mail, irc и LDAP - это три примера служб, доступных через защищенные соединения, и они также уязвимы для POODLE, когда принимают соединения SSLv3.
Чтобы подключиться к сервису с использованием SSLv3, вы можете использовать команду:openssl(1)
s_client(1)
openssl s_client -connect imap.example.com:993 -ssl3 < /dev/null
-connect
Аргумент принимает hostname:port
параметр, -ssl3
аргумент ограничивает версию протокола переговоров для SSLv3 и трубопроводы в /dev/null
к STDIN
немедленно разрывает соединение после его открытия.
Если вы успешно подключились, SSLv3 включен; если вы получаете, ssl handshake failure
то это не так.
Смотрите также
На Security SE есть отличный вопрос и ответ: /security/70719/ssl3-poodle-vulnerability
curl
«S-v
флаг принимает аргумент; Вы можете подтвердить то, что написали выше? Или, если это требует конкретной версииcurl
, это было бы полезно знать также.