Barboncino: disabilitare SSL V3 sul server è davvero una soluzione?


39

Ho letto tutto il giorno sulla vulnerabilità di Poodle e ora sono un po 'confuso rispetto a Sicurezza e entrate.

Se disabilito SSL V3 sul server (SSL V2 e V3 entrambi saranno disabilitati per Apache) client (browser) che non supportano alcun protocollo ma SSL V3 non sarà in grado di connettere HTTPS con il server.

Quindi è la situazione in cui client e server devono comunicare con TLS 1.1 1.2 e così via

Se qualcuno di loro utilizza SSL V3 e l'altro non supporta le versioni precedenti, cosa succede? Nessuna connessione a SSL.

Ho visto alcuni aggiornamenti apportati a Firefox, forse hanno disabilitato SSL V3 in ciò che di solito dobbiamo fare nelle opzioni. Ciò forzerà tutta la connessione a versioni inferiori e TLS

Ma disabilitare SSL V3 è davvero una soluzione per questo problema?


4
Cosa intendi con "Questo forzerà tutta la connessione a versioni inferiori e TLS"? SSLv1 e SSLv2 sono stati disabilitati per molto tempo perché sono stati interrotti. SSLv3 è stato disapprovato ma in molti casi è rimasto abilitato a supportare software legacy. Qual è la versione precedente a cui ti riferisci? TLSv1.0, v1.1, v1.2, ... sono standard successivi e possono essere considerati "versione superiore SSL", solo i numeri di versione sono stati ripristinati con la modifica del nome.
Håkan Lindqvist,

Ciao, quindi quello che ho capito finora è Se disabilito SSL V3 e V2 su Server come raccomandato anche da Red Hat, la connessione sicura sarà sul protocollo TLS. E se i browser stanno effettuando una chiamata su TLS con il server, non ci saranno problemi nelle connessioni sicure. Non ho le informazioni esatte sulla differenza tra le versioni SSL e TLS b / n.
sandeep.s85

Risposte:


52

Innanzitutto, chiariamo un po 'le cose:

  • TLS ha sostituito SSL. TLS 1.0 è arrivato dopo ed è un aggiornamento a SSL 3.0.

    TLS 1.2> TLS 1.1> TLS 1.0> SSL 3.0> SSL 2.0> SSL 1.0

  • Le versioni SSL precedenti alla 3.0 avevano da tempo conosciuto gravi vulnerabilità di sicurezza e sono disabilitate / non supportate da client e server moderni. SSL 3.0 andrà probabilmente allo stesso modo presto.

  • Dei protocolli attualmente in uso, "Poodle" influisce in modo decisivo su SSL 3.0, dove non c'è modo di mitigarlo. Esiste un attacco simile contro alcune implementazioni TLS 1.0 e 1.1 che le specifiche consentono: assicurati che il tuo software sia aggiornato.


Ora, il motivo per cui "Poodle" è un rischio anche con client e server moderni è dovuto all'implementazione da parte dei clienti di un meccanismo di fallback. Non tutti i server supporteranno le versioni più recenti, quindi i client proveranno ciascuna versione in ordine dal più recente al meno recente (TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0) fino a quando non ne troverà una supportata dal server. Ciò accade prima che inizi la comunicazione crittografata, quindi un utente malintenzionato (MITM) è in grado di forzare il browser a tornare a una versione precedente anche se il server supporta una versione superiore. Questo è noto come attacco di downgrade del protocollo.

In particolare, nel caso di "Poodle", purché sia ​​il client che il server supportino SSL 3.0, un utente malintenzionato MITM è in grado di forzare l'uso di questo protocollo.

Quindi quando disabiliti SSL 3.0, questo ha due effetti:

  • I client che supportano versioni superiori non possono essere indotti a tornare alla versione vulnerabile ( TLS Fallback SCSV è un nuovo meccanismo proposto per prevenire un attacco di downgrade del protocollo, ma non tutti i client e server lo supportano ancora). Questo è il motivo per cui si desidera disabilitare SSL 3.0. La stragrande maggioranza dei tuoi clienti probabilmente rientra in questa categoria, e questo è vantaggioso.

  • I client che non supportano affatto TLS (come altri hanno già detto, IE6 su XP è praticamente l'unico ancora utilizzato per HTTPS) non saranno in grado di connettersi tramite una connessione crittografata. Questa è probabilmente una parte minore della tua base di utenti e non vale la pena sacrificare la sicurezza della maggioranza che è aggiornata per soddisfare questa minoranza.


8
Ciao Bob, questa è Alice qui. Metti mi piace alla tua spiegazione su come Mallet può usare Poodle.
BatteryBackup:

+1 Non sapevo dell'attacco di downgrade del protocollo.
developerwjk,

1
AGGIORNAMENTO: "...everything less than TLS 1.2 with an AEAD cipher suite is cryptographically broken, including many implementations which conform to current specifications." zdnet.com/article/poodle-not-fixed-some-tls-systems-vulnerable
BlueCacti

@GroundZero > Ma risulta che alcune implementazioni TLS non hanno ancora controllato i byte di riempimento, nonostante la possibilità di farlo. => in particolare, mentre le implementazioni di TLS 1.0 e 1.1 potrebbero essere interrotte (e le specifiche consentono loro di essere interrotte in questo modo, il che non va bene), non è così male come SSL 3.0 dove le specifiche stesse erano rotte e non c'erano modo per un'implementazione conforme per aggirare. Inoltre, "disattivare" il supporto TLS 1.0 e 1.1 sul server è un problema molto più difficile rispetto alla disattivazione di SSL 3.0: influenzerai una percentuale molto più ampia dei tuoi utenti.
Bob,

Sembra che siano principalmente le implementazioni sul lato server a essere vulnerabili (?): Correggi l'implementazione TLS sul server e dovresti stare bene (?) [Non ci ho esaminato abbastanza per confermare che i browser e gli altri client non sono interessati , ma il testo del tuo articolo collegato e la sua fonte suggeriscono che].
Bob,

27

La tua valutazione è corretta. I clienti dovranno utilizzare protocolli più recenti per connettersi al server una volta disabilitato SSL 3. Il protocollo SSL 3 è difettoso e non ci sarà "patch". La disabilitazione di SSL 3 è l'unica soluzione.

Tanti siti hanno disabilitato SSL 3, a questo punto, in modo da rendere praticamente inevitabile l'aggiornamento degli utenti dei browser più vecchi. Supponendo che tu stia registrando le stringhe dell'agente utente, puoi rivedere i tuoi registri e prendere una decisione informata sulla disabilitazione di SSL 3. Penso che sia probabile che solo una piccola percentuale dei visitatori del tuo sito stia utilizzando browser che non sarebbero in grado di gestire i protocolli più recenti.

[fwiw - cloudflare riporta che l'1,12% degli utenti sono utenti di IE6 XP a seconda di SSLv3]


1
Mentre è vero che SSLv3 è difettoso e l'unica vera soluzione è disabilitare SSLv3. C'è anche una mitigazione per l'attacco del barboncino che non richiede la disabilitazione di SSLv3, se puoi accettare la crittografia RC4 per i client TLS 1.0, poiché il barboncino influisce solo sulle cifre della modalità CBC (AES). L'ho descritto qui: serverfault.com/q/637848/249649
cypres

2
TLS_FALLBACK_SCSVnon sta mitigando l'attacco per i clienti più anziani, però. Permette solo ai client più vecchi di continuare a utilizzare il protocollo difettoso, evitando al contempo il downgrade indesiderato della versione del protocollo per i client più recenti. Alla fine, lasciare SSLv3 abilitato per tutti i client espone potenzialmente il loro traffico agli aggressori.
Evan Anderson,

RC4 sta mitigando questo attacco per i client più vecchi, non per scsv. Ma preferiamo non usare RC4, motivo per cui consiglio anche di disabilitare SSLv3 se possibile.
cypres,

1
@cypres - Sì-- 'TLS_FALLBACK_SCSV' non aiuta i client più vecchi. Direi che nemmeno usare un codice che ha dimostrato di avere gravi debolezze non è utile. Dobbiamo lasciare che questo sia un "giorno della bandiera" che elimina SSL 3.0 dalla rete. Certo, se hai dispositivi, dispositivi integrati e così via che non supportano TLS all'interno della tua azienda, sentiti libero di utilizzare SSL 3.0. Penso che sia irresponsabile incoraggiare chiunque a continuare a utilizzare SSL 3.0 su Internet pubblico, però.
Evan Anderson,

Oggi ho disabilitato SSLv3 su Firefox e ho permesso solo TLS e vedo una discreta quantità di problemi di connessione SSL durante la navigazione di siti Web su Internet. Sto supportando centinaia di server Linux in cui è abilitato sslv3. Potrei sbagliarmi, ma le soluzioni definitive a questa situazione sono fino a quando i fornitori del sistema operativo rilasciano una patch in modo che nulla debba essere fatto sul lato client. Il problema è che non è possibile prevederne l'impatto.
sandeep.s85,

20

Sì, la disabilitazione di SSL3 consentirà agli utenti che non supportano TLS di accedere al tuo sito Web.

Tuttavia, da un punto di vista pratico, guarda quali browser rientrano in quella categoria. Chrome e Firefox supportano entrambi TLS e abbandoneranno addirittura il supporto SSL3 a causa di questo errore. IE lo supporta da IE7. L'unico browser che non ha supporto, ma è ancora utilizzato su scala globale, è IE6 e l'unica ragione che viene ancora utilizzata è 2 motivi:

  1. Chiunque abbia una versione crackata di XP e nessun modo di usare Chrome o Firefox;
  2. Chiunque abbia una politica aziendale o governativa con restrizioni relative alla scelta del browser.

In entrambi i casi, viene utilizzato IE6 perché è il browser Windows XP predefinito fornito con l'installazione originale. Inoltre, l'unica ragione per cui IE6 ha ancora una (piccola) quota di mercato globale è a causa dei numerosi utenti in Cina.

Quindi, per farla breve: ecco 3 domande:

  1. Hai una base di utenti cinese significativa?
  2. Il tuo sito web fornisce supporto per IE6, anche se è antiquato e rotto?
  3. Il tuo sito Web è un prodotto utilizzato da un governo o società con restrizioni di scelta del browser?

Se uno di questi 3 è vero, dovrai trovare una soluzione alternativa. Se tutti e 3 sono falsi, disabilitalo e basta. E se hai bisogno della soluzione alternativa, sei davvero più difficile convincere quella piccola parte della tua base di utenti che utilizza ancora IE6 per passare da un browser di 13 anni.


7

Citi " Apache " e " browser " nella tua domanda, ma il titolo è più generale.

Come Evan e altri sottolineano, il problema è tutt'altro che risolto per HTTPS. Ma ci sono un certo numero di altri protocolli che un server potrebbe crittografare e il supporto TLS è molto più scarso tra quella base di client (come ho scoperto stamattina, quando si impone "no SSL3" su un server IMAP / S).

Quindi temo che la risposta sia " dipende dai servizi crittografati e dal supporto client per TLS tra la tua base di utenti ".

Modifica : sì, questo era il mio punto, anche se sono contento che tu sia d'accordo. La disattivazione di sslv3 viene eseguita in base al singolo servizio. Ad esempio, il modo per spegnerlo su dovecot è mettere

ssl_cipher_list = ALL:!LOW:!SSLv2:!SSLv3:!EXP:!aNULL

in dovecot.conf. Il problema più grande è che mentre la maggior parte dei browser è tollerante alla perdita di sslv3, i client di altri servizi sembrano essere molto meno tolleranti. Stamattina ho interrotto circa la metà dei miei utenti quando l'ho disattivato su dovecot; I telefoni Android con K-9 e Outlook su Win7 sono due di cui sono sicuro, ma dai miei registri ce ne sono stati altri.

La disattivazione di SSLv3 non è ancora solo una soluzione valida, è l' unica soluzione; ma farà male.

Modifica 2 : grazie a dave_thompson_085 per aver sottolineato che la disabilitazione delle cifre SSLv3 in dovecot disabilita non solo il protocollo SSLv3, ma anche TLSv1.0 e TLSv1.1, poiché non hanno cifre che il protocollo precedente non ha. Dovecot (almeno, le versioni precedenti, che includono quella che sto eseguendo) sembra non avere la possibilità di configurare i protocolli piuttosto che i ciphersuites. Questo probabilmente spiega perché farlo ha rotto così tanti clienti.


1
Ora ho anche letto che questo non influirà solo sui server Web ma su qualsiasi servizio in esecuzione sul server che utilizza SSL, ovvero server Web, server LDAP, demoni SSH, server POP3, server SMTP Quindi per i server Web abbiamo la configurazione in Apache file di configurazione mod_ssl come SSLProtocol All -SSLv2 -SSLv3 Dobbiamo considerare anche altri servizi su come impedire a client / server di utilizzare SSLv3
sandeep.s85

L'attacco POODLE effettivo, come descritto nell'avviso di sicurezza , si basa su una discreta quantità di richieste fatte con una certa capacità di controllo da parte dell'attaccante. Nel contesto di HTTPS e browser ciò è possibile grazie allo scripting, ma nel contesto di esempio IMAPS non sono convinto che questa sia una cosa pratica da fare. Sbarazzarsi di SSLv3 su tutta la linea è ovviamente l'ideale, ma non sono sicuro che POODLE in particolare sia altrettanto rilevante per alcuni di questi altri casi.
Håkan Lindqvist,

Håkan, col passare del tempo, sono sempre più d'accordo con te.
MadHatter supporta Monica il

3
La disabilitazione delle cifre !SSLv3 in openssl disabilita effettivamente tutti i protocolli tranne TLSv1.2, che potrebbe non essere buono per i tuoi colleghi. Ecco perché disabilitare il protocollo è meglio, ma AFAICS solo in dovecot 2.1+. Vedi security.stackexchange.com/questions/71872/… .
dave_thompson_085

@ dave_thompson_085: quando dici " disabilitazione ... in openssl ", vuoi dire " disabilitazione ... in dovecot "? In tal caso, sono d'accordo con te e modificherò la mia risposta alla luce di queste informazioni, se puoi chiarire come richiesto.
MadHatter supporta Monica il

6

Disabilitare SSLv3 è la soluzione migliore , ma non sono d'accordo che sia l'unica soluzione. Come descritto da CloudFlare, l'utilizzo di SSLv3 è molto basso , quindi la maggior parte degli amministratori non dovrebbe avere problemi a disattivarlo.

Se hai un requisito specifico per SSLv3, forse ti viene richiesto di supportare IE6 su Windows XP o sei tenuto a supportare software molto vecchio, c'è un altro modo per mitigarlo.

Il modo per mitigarlo e mantenere SSLv3 è utilizzare RC4 e supportare TLS Fallback SCSV, fornito da OpenSSL 1.0.1j. Nel post di qualys su barboncino , RC4 è "un certo codice di flusso non sicuro il cui nome nessuno vuole menzionare".

Questo è ciò che fa Google su mail.google.com e lo descrivono anche nel loro blog: http://googleonlinesecurity.blogspot.se/2014/10/this-poodle-bites-exploiting-ssl-30.html


2
Non sono davvero sicuro di quale sia la cosa peggiore, lasciando il sistema aperto a Poodle o spostando verso il basso su RC4 ...
Brian Knoblauch,

I client che supportano TLS 1.1+ non passano a RC4. Non sono un esperto, ma credo che il barboncino sia peggio.
cypres,

RC4 non significa essenzialmente Raw Cleartext?
Hagen von Eitzen,

1
Sicuramente stai scherzando, ma sollevi un punto valido. Non è così gravemente rotto, questa è davvero una buona risposta a questo riguardo alla sicurezza: security.stackexchange.com/a/32498
cypres

2

Manca un dettaglio della conversazione, in base alla domanda originale potrebbe essere una buona idea annotarlo. TLS 1.0 è anche indicato come SSL 3.1, quindi poster originale, dovresti guardare la tua configurazione, stai eseguendo v3.0 o v3.1


-3

Come per la maggior parte delle cose, la risposta è "dipende". L'unico browser in qualsiasi tipo di utilizzo "comune" che non supporta TLS è IE6. Sfortunatamente, vari rapporti affermano che IE6 potrebbe corrispondere al pochi percento delle richieste HTTP globali (vedi: http://news.netcraft.com/archives/2014/10/15/googles-poodle-affects-oodles.html ) . La buona notizia, se siete in Nord America, è che è relativamente raro negli Stati Uniti. Per sicurezza, dovresti guardare le statistiche degli user agent dai tuoi log www. Nel mio caso, c'erano così poche impronte digitali IE6 che immaginavo fossero tutte da strumenti di test.

Puoi testare i tuoi siti Web con il tester di ssllab per vedere come reagiscono i vari agenti.

https://www.ssllabs.com/ssltest/

TL; DR - SSLv3 è morto; lunga vita a TLS.


15
IE6 non è l'ultima versione compatibile con XP, è la versione fornita con XP. IE8 è l'ultima versione compatibile con XP.
Håkan Lindqvist,

6
-1 a causa di inesattezze fattuali che indicano che IE6 è l'ultima versione su XP.
TomTom,

may be as much as a few percent of global HTTP requests. Vorrei una fonte per questo. CloudFlare dice questo sull'uso: In other words, even on an out-of-date operating system, 98.88% Windows XP users connected using TLSv1.0+( blog.cloudflare.com/… ). Che è molto meno di "qualche percento" a livello globale.
Faker

1
Sospetto che i clienti di cloudflares siano per lo più grandi società nordamericane. Le statistiche che ho citato provenivano da netcraft: news.netcraft.com/archives/2014/10/15/… "Nonostante la sua età e la fine del supporto Microsoft per Windows XP, IE6 rimane popolare, rappresentando oltre il 3,8% delle visite web in tutto il mondo e il 12,5% in Cina. Questa vulnerabilità può risuonare per la morte di IE6 e Windows XP. "
Joshua Hoblitt,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.