Ostatnio jakby większy wysyp poważniejszych błędów związanych z działaniem serwerów WWW. Raptem „chwile temu” mieliśmy dziurę w Basku (Shellshock), a niewiele wcześniej błąd w OpenSSL (Heartbleed). Teraz ponownie problem z SSL, tym razem ktoś chyba spuścił ze smyczy pudla – a co groźniejsze – bez kagańca…

POODLE – Padding Oracle On Downgraded Legacy Encryption (CVE-2014-3566)

Nie będę się rozpisywał nad tym na czym polega błąd – takie informacje znajdziecie aktualnie chyba nawet w serwisach plotkarskich – nie będę wymieniał ich nazw, ale szczególnie jeden kojarzy mi się z problemem… ;-)

O ataku na SSLv3 (bo tej wersji dotyczy opublikowana dziura) poinformowało Google, a odkrywcy dziury to:

  • Bodo Möller
  • Thai Duong
  • Krzysztof Kotowicz

Zabezpieczamy serwer oparty o webserwer Nginx

Jeśli korzystacie z webserwera Nginx zalecam zmodyfikować pliki konfiguracyjne domen (wirtualnych serwerów, vHostów) w przypadku których korzystacie z SSL/HTTPS.

Znajdujecie linijki zaczynające się od:

ssl_protocols
ssl_ciphers
ssl_prefer_server_ciphers

I zmieniacie je (lub dodajecie gdy którejś brakuje) na:

ssl_protocols TLSv1.1 TLSv1.2;
#ALT:
#ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;
ssl_prefer_server_ciphers on;

Możecie też dokonać modyfikacji globalnej, edytując plik:

sudo nano /etc/nginx/nginx.conf

Szukacie linijki zaczynającej się od:

ssl_protocols

I zmieniacie na:

ssl_protocols TLSv1.1 TLSv1.2;

Na koniec restart ustawień:

nginx -t && service nginx reload

Zabezpieczamy serwer oparty o webserwer Apache2

Jeśli korzystacie z webserwera Apache2 zalecam zmodyfikować pliki konfiguracyjne domen (wirtualnych serwerów, vHostów) w przypadku których korzystacie z SSL/HTTPS.

Znajdujecie linijki zaczynające się od:

SSLProtocol
SSLCipherSuite
SSLHonorCipherOrder

I zmieniacie je (lub dodajecie gdy którejś brakuje) na:

SSLProtocol +TLSv1.1 +TLSv1.2
# ALT:
#SSLProtocol all -SSLv2 -SSLv3 -TLSv1
# ALT2:
#SSLProtocol +TLSv1 +TLSv1.1 +TLSv1.2
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
SSLHonorCipherOrder on

Możecie też dokonać modyfikacji globalnej, edytując plik:

sudo nano /etc/apache2/mods-available/ssl.conf

Szukacie linijki zaczynającej się od:

SSLProtocol

I zmieniacie na:

SSLProtocol all -SSLv2 -SSLv3 -TLSv1

Na koniec restart ustawień:

sudo service apache2 restart

CloudFlare i Universal SSL

Przy okazji przypomnę o tym, że niedawno CloudFlare również w przypadku darmowych planów pozwoliło na korzystanie z połączeń szyfrowanych (SSL/HTTPS)

Windows i Sandworm

Przy okazji - jeśli ktoś z Was jeszcze tego nie zrobił - szybko aktualizujemy komputery pracujące pod kontrolę systemu Windows (dla odmiany ;-)), bo pojawiła się groźna dziura - Sandworm, która jest już skutecznie wykorzystywana...

Co ciekawe - problem dotyczy wszystkich wersji systemu Windows powyżej Windowsa XP, którego akurat problem nie dotyczy.

Zgłoś błąd na stronie

Potrzebujesz profesjonalnej pomocy? Skontaktuj się z nami!

WebInsider poleca księgowość wFirma
WebInsider korzysta z VPSa w HitMe.pl
WebInsider poleca VPSy DigitalOcean
WebInsider poleca serwis Vindicat
Napisz komentarz
wipl_napisz-komentarz_01Jeśli informacje zawarte na tej stronie okazały się pomocne, możesz nam podziękować zostawiając poniżej swój komentarz.

W tej formie możesz również zadać dodatkowe pytania dotyczące wpisu, na które - w miarę możliwości - spróbujemy Ci odpowiedzieć.
Linki partnerskie
Niektóre z linków na tej stronie to tzw. "linki partnerskie", co oznacza, że jeśli klikniesz na link i dokonasz wymaganej akcji (np. zakup/rejestracja) możemy otrzymać za to prowizję. Pamiętaj, że polecamy tylko te produkty i usługi, z których sami korzystamy, i uważamy, że są tego na prawdę warte... :-)
Znaki towarowe i nazwy marek
W niektórych wpisach (oraz innych miejscach na stronie) mogą być przedstawione/użyte znaki towarowe i/lub nazwy marek, które stanowią własność intelektualną tych podmiotów, a zostały użyte wyłącznie w celach informacyjnych.

Potrzebujesz profesjonalnej pomocy? Skontaktuj się z nami!