Forzar una conexión a través de SSL3 para detectar la vulnerabilidad de POODLE

Question

Forzar una conexión a través de SSL3 para detectar la vulnerabilidad de POODLE

#1 de itscooper (5 votos)
#2 de Question Overflow (3 votos)
#3 de Khanna111 (0 votos)

9

He estado leyendo sobre la vulnerabilidad de POODLE. A mi entender, y corríjame si me equivoco, debe permitir que las conexiones se realicen a través de SSLv3 en el servidor.

El servidor que actualmente estoy ejecutando de manera predeterminada es TLS 1.0 en los navegadores que he probado, pero no estoy seguro si la conexión bajará a SSL 3.0 si el cliente lo solicitó.

¿Existe alguna forma en Chrome o en cualquier otro navegador para forzar el uso de SSL 3.0? Simplemente quiero probar si mi sitio (s) permite la conexión a través de SSL 3.0 o no.

web-browser tls known-vulnerabilities

pregunta Kami 17.10.2014 - 10:40

fuente

3 respuestas

3

El navegador Firefox proporciona la forma más fácil de realizar tales pruebas a través de la configuración avanzada en about:config

0-SSLv3(establezcaelvalormáximoymínimoparaesto)
1-TLSv1.0
2-TLSv1.1
3-TLSv1.2

LoqueverácuandoelsitiowebnoseacompatibleconSSLv3eslosiguiente:

Recuerde volver a establecerlo en max 3 y min 1 después de usarlo.

respondido por el Question Overflow 17.10.2014 - 11:32

fuente

0

Cualquier conexión hecha en SSL v3 y usando CBC Ciphers es vulnerable a Poodle attack. Los navegadores (los navegadores más antiguos y otros clientes) negociarán SSL a medida que escribamos al respecto.

Aunque la mayoría ha deshabilitado SSL de forma predeterminada y solo funciona con TLS.

Tenga en cuenta que existe una nueva vulnerabilidad Poodle on TLS de la que no hablaremos en este hilo.

La única forma de deshabilitar tal Poodle on SSL ataque es deshabilitar SSL completamente (v3 y anteriores) o si realmente necesita SSL v3 para la compatibilidad con clientes más antiguos, elimine cualquier CBC cifrados de la lista de conjuntos de cifrado que el servidor soportará

Si desea comprobar si su sitio admite SSL, puede usar SSLLabs o Symantec CertChecker para nombrar algunos.

respondido por el Khanna111 16.12.2014 - 23:10

fuente

Lea otras preguntas en las etiquetas web-browser tls known-vulnerabilities

¿Debo volver a crear etiquetas Git después de revocar una clave de firma? ¿Por qué Chrome me dice que este certificado es válido cuando no se puede verificar?

score 5 · Accepted Answer

No necesariamente importa lo que use su servidor de forma predeterminada: la mayoría de los servidores y clientes están configurados para negociar el protocolo más alto disponible. Un aspecto importante del ataque de POODLE es que un atacante puede causar fallos de conexión en un protocolo más alto (no vulnerable) y degradar a la víctima a SSL3 . Entonces pueden explotar la vulnerabilidad en SSL 3.

Fuente: enlace

Por lo tanto, el cliente no necesita solicitar que la conexión sea degradada; un atacante con acceso al tráfico de la red puede hacer esto. Cualquier cliente que admita SSL 3 es potencialmente vulnerable (si el servidor también lo hace y SCSV no está habilitado en ambos extremos).

Pero sí, la mayoría de los navegadores le permiten desactivar las versiones SSL / TLS, y en algunos casos puede optar por desactivar los protocolos más nuevos.

En Internet Explorer , puedes desactivar los protocolos SSL / TLS desde las Opciones de Internet > Avanzado.
En FireFox , puede configurar security.tls.version.max y la seguridad .tls.version.min Preferencias de Firefox para seleccionar una versión específica.
En Google Chrome , puede usar los distintivos de línea de comandos --ssl-version-max y --ssl-version-min para seleccionar una versión de protocolo específica. Los valores aceptados son: "ssl3", "tls1", "tls1.1" o "tls1.2". Cómo establecer marcas de línea de comando en Chrome .

Debería ir sin decir que, por lo general, solo debe usar dichos métodos para deshabilitar los antiguos protocolos inseguros (como SSL 2 y 3 actualmente).