Na WebInsider.pl korzystamy z motywu Extra od Elegant Themes. Zobacz dlaczego...

Ostatnio jakby większy wysyp poważniejszych błędów związanych z działaniem serwerów WWW. Raptem „chwile temu” mieliśmy dziurę w Basku (Shellshock), a niewiele wcześniej błąd w OpenSSL (Heartbleed). Teraz ponownie problem z SSL, tym razem ktoś chyba spuścił ze smyczy pudla – a co groźniejsze – bez kagańca…

POODLE – Padding Oracle On Downgraded Legacy Encryption (CVE-2014-3566)

Nie będę się rozpisywał nad tym na czym polega błąd – takie informacje znajdziecie aktualnie chyba nawet w serwisach plotkarskich – nie będę wymieniał ich nazw, ale szczególnie jeden kojarzy mi się z problemem… ;-)

O ataku na SSLv3 (bo tej wersji dotyczy opublikowana dziura) poinformowało Google, a odkrywcy dziury to:

  • Bodo Möller
  • Thai Duong
  • Krzysztof Kotowicz

Zabezpieczamy serwer oparty o webserwer Nginx

Jeśli korzystacie z webserwera Nginx zalecam zmodyfikować pliki konfiguracyjne domen (wirtualnych serwerów, vHostów) w przypadku których korzystacie z SSL/HTTPS.

Znajdujecie linijki zaczynające się od:

ssl_protocols
ssl_ciphers
ssl_prefer_server_ciphers

I zmieniacie je (lub dodajecie gdy którejś brakuje) na:

ssl_protocols TLSv1.1 TLSv1.2;
#ALT:
#ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;
ssl_prefer_server_ciphers on;

Możecie też dokonać modyfikacji globalnej, edytując plik:

sudo nano /etc/nginx/nginx.conf

Szukacie linijki zaczynającej się od:

ssl_protocols

I zmieniacie na:

ssl_protocols TLSv1.1 TLSv1.2;

Na koniec restart ustawień:

nginx -t && service nginx reload

Zabezpieczamy serwer oparty o webserwer Apache2

Jeśli korzystacie z webserwera Apache2 zalecam zmodyfikować pliki konfiguracyjne domen (wirtualnych serwerów, vHostów) w przypadku których korzystacie z SSL/HTTPS.

Znajdujecie linijki zaczynające się od:

SSLProtocol
SSLCipherSuite
SSLHonorCipherOrder

I zmieniacie je (lub dodajecie gdy którejś brakuje) na:

SSLProtocol +TLSv1.1 +TLSv1.2
# ALT:
#SSLProtocol all -SSLv2 -SSLv3 -TLSv1
# ALT2:
#SSLProtocol +TLSv1 +TLSv1.1 +TLSv1.2
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
SSLHonorCipherOrder on

Możecie też dokonać modyfikacji globalnej, edytując plik:

sudo nano /etc/apache2/mods-available/ssl.conf

Szukacie linijki zaczynającej się od:

SSLProtocol

I zmieniacie na:

SSLProtocol all -SSLv2 -SSLv3 -TLSv1

Na koniec restart ustawień:

sudo service apache2 restart

CloudFlare i Universal SSL

Przy okazji przypomnę o tym, że niedawno CloudFlare również w przypadku darmowych planów pozwoliło na korzystanie z połączeń szyfrowanych (SSL/HTTPS)

Windows i Sandworm

Przy okazji - jeśli ktoś z Was jeszcze tego nie zrobił - szybko aktualizujemy komputery pracujące pod kontrolę systemu Windows (dla odmiany ;-)), bo pojawiła się groźna dziura - Sandworm, która jest już skutecznie wykorzystywana...

Co ciekawe - problem dotyczy wszystkich wersji systemu Windows powyżej Windowsa XP, którego akurat problem nie dotyczy.

(!) Zgłoś błąd na stronie
Spodobał Ci się artykuł? Zapisz się do naszego Newslettera - ZERO SPAMu, same konkrety, oraz dostęp do dodatkowych materiałów przeznaczonych dla subskrybentów!
Na podany adres e-mail otrzymasz od nas wiadomość e-mail, w której znajdziesz link do potwierdzenia subskrypcji naszego Newslettera. Dzięki temu mamy pewność, że nikt nie dodał Twojego adresu przez przypadek. Jeśli wiadomość nie przyjdzie w ciągu najbliższej godziny (zazwyczaj jest to maksymalnie kilka minut) sprawdź folder SPAM.
Młody Szymon pomógł tacie zapisać się do Newslettera WebInsider.pl i... teraz idzie popływać
WebInsider poleca księgowość wFirma
WebInsider korzysta z VPSa w HitMe.pl
WebInsider poleca VPSy DigitalOcean
WebInsider poleca serwis Vindicat
Napisz komentarz
wipl_napisz-komentarz_01Jeśli informacje zawarte na tej stronie okazały się pomocne, możesz nam podziękować zostawiając poniżej swój komentarz.

W tej formie możesz również zadać dodatkowe pytania dotyczące wpisu, na które – w miarę możliwości – spróbujemy Ci odpowiedzieć.
Linki partnerskie
Niektóre z linków na tej stronie to tzw. „linki partnerskie”, co oznacza, że jeśli klikniesz na link i dokonasz wymaganej akcji (np. zakup/rejestracja) możemy otrzymać za to prowizję. Pamiętaj, że polecamy tylko te produkty i usługi, z których sami korzystamy, i uważamy, że są tego na prawdę warte… :-)
Znaki towarowe i nazwy marek
W niektórych wpisach (oraz innych miejscach na stronie) mogą być przedstawione/użyte znaki towarowe i/lub nazwy marek, które stanowią własność intelektualną tych podmiotów, a zostały użyte wyłącznie w celach informacyjnych.
Monika ćwiczy przed kongresem ko..., ale dzięki motywowa Divi od Elegant Themes chyba nawet ona da radę...