¿Cómo puedo verificar que el protocolo SSLv3 está deshabilitado?

18

Estoy intentando deshabilitar SSLv3 en ejabberd 2.1.10 en Ubuntu 12.04. No hay forma de deshabilitarlo en el archivo de configuración, así que tengo que parchear la fuente y reconstruir el paquete: enlace

El problema es después de instalar e instalar parches, ¿cómo puedo verificar que SSLv3 protocolo está deshabilitado? Es un servidor privado, por lo que no puedo usar enlace .

Sé que podemos usar openssl con la opción -ssl3 , algo como esto:

openssl s_client -connect chat.local:5222 -starttls xmpp -ssl3

pero la cosa es: no puedo deshabilitar suites de cifrado SSLv3: enlace :

  

Tenga en cuenta que si bien puede deshabilitar la versión 3 de SSL, no puede deshabilitar las "suites de cifrado SSLv3" ya que no existe tal cosa, todas las versiones de TLS utilizan todas las versiones de TLS (TLS 1.1 / 1.2 solo agrega algunas nuevas) ).

por lo que el comando anterior aún muestra el resultado:

New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : SSLv3
    Cipher    : AES256-SHA
    Session-ID:
    Session-ID-ctx:
    Master-Key: D1D474B68F6C4F59ED5E96963F94FAF078A0C5531A7841B1E0E34257925309A96EA2F25F59F65CCD151F05EB75BC935C
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1414072098
    Timeout   : 7200 (sec)
    Verify return code: 18 (self signed certificate)

Dos preguntas:

  1. ¿cómo puede un verificador ssl en línea ( enlace , enlace , ...) puede probar si SSLv3 protocolo está deshabilitado o no?
  2. ¿Existe algún riesgo si el protocolo SSLv3 está deshabilitado, pero las suites de cifrado SSLv3 están habilitadas por alguna razón (por ejemplo, OpenSSL en Ubuntu 12.04 TLSv1.2 deshabilitado, debemos habilitar las suites de cifrado SSLv3 para que funcione alguna herramienta de monitoreo)?
pregunta quanta 23.10.2014 - 19:19
fuente

5 respuestas

16
SSL-Session:
   Protocol  : SSLv3
   Cipher    : AES256-SHA

Obviamente, su servidor todavía tiene SSLv3 habilitado. Si ha desactivado con éxito SSLv3 openssl s_client -ssl3 -connect ... debería obtener algo como esto:

...SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1260:SSL alert number 40
...SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:596:
...
Protocol  : SSLv3
Cipher    : 0000

El indicador aquí es que no obtiene cifrado ("0000").

En cuanto a los cifrados en sí, no es necesario realizar ningún cambio.

    
respondido por el Steffen Ullrich 23.10.2014 - 19:38
fuente
10

sólo para completar:

testssl.sh es una buena herramienta basada en la consola para comprobar las configuraciones ssl de cualquier ssl / ts - servidores habilitados, en oposición a ssllabs

    
respondido por el that guy from over there 23.10.2014 - 21:01
fuente
7

Dos formas que conozco:

Si tiene Webinspect, tienen una comprobación específica para esto.

La forma más sencilla es desmarcar todos los protocolos en IE con la excepción de SSLv3 y ver si te conectas al sitio web.

    
respondido por el k1DBLITZ 23.10.2014 - 19:56
fuente
7

Qualys tiene una buena herramienta de prueba de SSL que le dará mucha información sobre su conexión SSL. Puede consultar la versión SSL que el servidor admite en la sección "Protocolo".

enlace

    
respondido por el user59338 23.10.2014 - 20:40
fuente
2

La secuencia de comandos nmap 'ssl-enum-ciphers' es la forma en que me las arreglo para averiguar qué versiones y cifrados son compatibles. El comando es "nmap -p 443 --script ssl-enum-ciphers"

La salida también se puede poner en un formato grepable.

enlace

    
respondido por el AdamAntium 23.10.2014 - 21:16
fuente

Lea otras preguntas en las etiquetas