मैं POODLE हमले को कम कैसे करूं, लेकिन फिर भी पुराने क्लाइंट जैसे IE6 पर Windows XP या एक ई-मेल क्लाइंट के लिए समर्थन रखना।
मैंने देखा है कि Google ऐसा करता है: https://www.ssllabs.com/ssltest/analyze.html?d=mail.google.com
मैं नगनेक्स और ओपनसेल का उपयोग कर रहा हूं।
इसके अलावा मैं आधुनिक / सबसे ब्राउज़रों के साथ फॉरवर्ड सेक्रेसी रखना चाहता हूं। मैं अपने ए-रेटिंग को ssllabs पर रखना चाहता हूं।
जवाबों:
जैसा कि Google इस ब्लॉग प्रविष्टि http://googleonlinesecurity.blogspot.se/2014/10/this-poodle-bites-exploiting-ssl-30.html पर लिखता है, वहाँ POODLE को कम करने के तीन तरीके हैं:
पहले दो विकल्प पुराने क्लाइंट जैसे IE6 पर XP के साथ संगतता को तोड़ते हैं। TLS_FALLBACK_SCSV इसका समर्थन करने वाले ब्राउज़र पर निर्भर करता है, जो इस समय केवल Chrome करता है, लेकिन फ़ायरफ़ॉक्स बहुत जल्द होगा। TLS_FALLBACK_SCSV को नए रिलीज़ किए गए OpenSSL 1.0.1j की आवश्यकता है।
यदि संभव हो तो आपको SSL 3 समर्थन को अक्षम करना चाहिए, लेकिन यदि आपको इसे आसपास रखने की आवश्यकता है, तो यह है कि आप इसे कैसे कम कर सकते हैं, यदि आपके पास OpenSSL 1.0.1j और nginx है:
ssl_ciphers EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH+aRSA+RC4:EECDH:EDH+aRSA:RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!CAMELLIA;
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
सिफर्स का यह कॉन्फ़िगरेशन अधिकांश ब्राउज़रों में आगे गोपनीयता प्रदान करेगा और POODLE + BEAST सर्वर साइड को कम करेगा। यह SSL 4 या TLS 1.0 ब्राउज़र के साथ सामना करने पर AES पर RC4 को प्राथमिकता देकर काम करता है, इस प्रकार CBC मोड से बचा जाता है। TLS 1.1+ चलाने वाले ब्राउज़र RC4 का उपयोग नहीं करते हैं, जो उतना सुरक्षित नहीं है जितना हम चाहेंगे ।
यह वर्तमान में ssllabs पर एक रेटिंग देता है, इस क्रिया में इसका उदाहरण: https://www.ssllabs.com/ssltest/analyze.html?d=s.nimta.com