Я уязвим для теста POODLE/SSLv3

Question

Так что это относительно новая проблема.

Мой сайт работает на сервере Apache2, установленном на OPENSuse 10 Enterprise. Насколько я читал, есть простой тест командной строки:

openssl s_client -connect mysite.com:443 -ssl3 

Возможно, если это возвращает «SSL процедуры: SSL3_READ_BYTES: SSLv3 предупреждение отказ рукопожатия:» в качестве выхода, кроме всего прочего, SSLv3 не поддерживается и ты в порядке. И это так. Так что тест подтвержден - я все в порядке.

Проблема в том, что ребята из SSLLabs имеют свой собственный тест. Вот ссылка: https://www.ssllabs.com/ssltest/index.html. Этот тест терпит неудачу и говорит, что я на самом деле уязвим, потому что SSLv3 IS поддерживается моим сервером.

Итак, два теста, полностью противоположные результаты. Кому я доверяю? Есть ли другие тесты? есть ли какой-нибудь способ быть уверенным?

Answer 1

Я бы не стал полагаться на просто запущенные тесты, узнать, как писать конфигурации SSL и реализовать безопасный, включая включение SSL3 на уровне конфигурации сервера. Cipherli.st имеет хороший список предопределенных SSL-конфигураций, которые являются безопасными,

Answer 2

У вас действительно есть OPENSuse 10 Enterprise? Есть ли еще обновления безопасности для старой версии? Подумайте об обновлении операционной системы!

Тест может обнаруживать только дыры в безопасности, которые он ищет. Поэтому, когда вы получаете предупреждение от теста, вы должны раздражаться и действовать. Если вы не получите предупреждения, тест просто может просто пропустить отверстие для безопасности. Тест на SSLLabs является хорошим набором тестов.