SSLv3 está quebrado
Com o advento do POODLE, todos os conjuntos de cifras usados pelo SSLv3 foram comprometidos e o protocolo deve ser considerado irreparavelmente quebrado.
Websites
Você pode verificar se seu site está disponível no SSLv3 com curl(1)
:
curl -v -3 -X HEAD https://www.example.com
O -v
argumento ativa a saída detalhada, -3
força o curl a usar SSLv3 e -X HEAD
limita a saída em uma conexão bem-sucedida.
Se você não estiver vulnerável, não poderá conectar-se e sua saída será algo como isto:
* SSL peer handshake failed, the server most likely requires a client certificate to connect
Se você estiver vulnerável, deverá ver uma saída de conexão normal, incluindo a linha:
* SSL 3.0 connection using SSL_NULL_WITH_NULL_NULL
Outros serviços
Não são apenas sites disponíveis sobre SSL. Mail, irc e LDAP são três exemplos de serviços disponíveis por meio de conexões seguras e são igualmente vulneráveis ao POODLE quando aceitam conexões SSLv3.
Para conectar-se a um serviço usando SSLv3, você pode usar o comando:openssl(1)
s_client(1)
openssl s_client -connect imap.example.com:993 -ssl3 < /dev/null
O -connect
argumento usa um hostname:port
parâmetro, o -ssl3
argumento limita as versões do protocolo negociadas ao SSLv3 e a inserção direta /dev/null
para STDIN
finalizar imediatamente a conexão após a abertura.
Se você se conectar com êxito, o SSLv3 será ativado; se você receber um ssl handshake failure
, não é.
Veja também
Há uma excelente pergunta e resposta no Security SE: /security/70719/ssl3-poodle-vulnerability
curl
a-v
bandeira leva uma discussão; você pode confirmar o que escreveu acima? Ou, se isso exigir uma versão específicacurl
, seria útil saber também.SSL .*connection using .*_WITH_.*
equivale a falha?Se você quiser fazer uma verificação rápida, acesse o URL abaixo. Ele faz um bom trabalho ao acompanhar tudo o que é SSL, incluindo a verificação de POODLE.
https://www.ssllabs.com/ssltest/
fonte