SSLv3 ist fehlerhaft
Mit dem Aufkommen von POODLE wurden alle von SSLv3 verwendeten Chiffresuiten kompromittiert, und das Protokoll sollte als irreparabel beschädigt angesehen werden.
Webseiten
Sie können überprüfen, ob Ihre Website über SSLv3 verfügbar ist curl(1)
:
curl -v -3 -X HEAD https://www.example.com
Das -v
Argument aktiviert die ausführliche Ausgabe, -3
erzwingt die Verwendung von SSLv3 und -X HEAD
begrenzt die Ausgabe für eine erfolgreiche Verbindung.
Wenn Sie nicht verwundbar sind, sollten Sie keine Verbindung herstellen können und Ihre Ausgabe sollte ungefähr so aussehen:
* SSL peer handshake failed, the server most likely requires a client certificate to connect
Wenn Sie anfällig sind, sollten Sie die normale Verbindungsausgabe sehen, einschließlich der folgenden Zeile:
* SSL 3.0 connection using SSL_NULL_WITH_NULL_NULL
Andere Dienstleistungen
Es sind nicht nur Websites, die über SSL verfügbar sind. Mail, IRC und LDAP sind drei Beispiele für Dienste, die über gesicherte Verbindungen verfügbar sind. Sie sind ebenfalls für POODLE anfällig, wenn sie SSLv3-Verbindungen akzeptieren.
Um über SSLv3 eine Verbindung zu einem Dienst herzustellen, können Sie den folgenden Befehl verwenden:openssl(1)
s_client(1)
openssl s_client -connect imap.example.com:993 -ssl3 < /dev/null
Das -connect
Argument nimmt einen hostname:port
Parameter, der -ssl3
begrenzt Argument der Protokollversionen zu SSLv3 ausgehandelt und in Rohrleitungen , /dev/null
um STDIN
sofort beendet die Verbindung nach dem Öffnen.
Wenn Sie erfolgreich eine Verbindung herstellen, ist SSLv3 aktiviert. wenn du eine bekommst ssl handshake failure
dann ist es nicht.
Siehe auch
Auf der Security SE gibt es eine ausgezeichnete Frage und Antwort: /security/70719/ssl3-poodle-vulnerability
curl
die-v
Flagge ein Argument enthält. Kannst du bestätigen, was du oben geschrieben hast? Oder wenn das eine bestimmte Version von erfordertcurl
, wäre das auch nützlich zu wissen.