Poodle: Apakah menonaktifkan SSL V3 di server benar-benar solusi?

39

Saya sudah membaca sepanjang hari tentang kerentanan Poodle dan saya agak bingung sekarang vs Keamanan dan Pendapatan.

Jika saya menonaktifkan SSL V3 di Server (SSL V2 dan V3 keduanya akan dinonaktifkan untuk Apache) klien (browser) yang tidak mendukung protokol apa pun tetapi SSL V3 tidak akan dapat menghubungkan HTTPS dengan server.

Jadi ini adalah situasi di mana klien dan server harus berkomunikasi dengan TLS 1.1 1.2 dan seterusnya

Jika salah satu dari mereka menggunakan SSL V3 dan yang lainnya tidak mendukung versi yang lebih rendah, lalu apa yang terjadi? Tidak ada koneksi ke SSL.

Saya telah melihat beberapa pembaruan yang dibuat untuk Firefox, mungkin mereka telah menonaktifkan SSL V3 dalam apa yang biasanya kita lakukan dalam opsi. Ini akan memaksa semua koneksi ke versi yang lebih rendah dan TLS

Tetapi apakah menonaktifkan SSL V3 benar-benar solusi untuk masalah ini?

sandeep.s85
sumber
4
Apa yang Anda maksud dengan "Ini akan memaksa semua koneksi ke versi yang lebih rendah dan TLS"? SSLv1 dan SSLv2 telah dinonaktifkan sejak lama karena sudah rusak. SSLv3 telah disukai tetapi dalam banyak kasus tetap diaktifkan untuk mendukung perangkat lunak warisan. Apa versi lebih rendah yang Anda maksud? TLSv1.0, v1.1, v1.2, ... adalah standar kemudian dan dapat dianggap "SSL versi yang lebih tinggi", hanya nomor versi yang direset dengan perubahan nama.
Håkan Lindqvist
Hai, jadi yang saya pahami sejauh ini adalah Jika saya menonaktifkan SSL V3 dan V2 di Server seperti yang direkomendasikan oleh Red Hat juga, koneksi aman akan berada pada protokol TLS. Dan jika browser melakukan panggilan pada TLS dengan server maka tidak akan ada masalah dalam koneksi aman. Saya tidak memiliki informasi yang tepat tentang perbedaan b / w SSL dan versi TLS ..
sandeep.s85

Jawaban:

52

Pertama, mari kita jelaskan sedikit:

  • TLS menggantikan SSL. TLS 1.0 datang setelah dan merupakan pembaruan ke SSL 3.0.

    TLS 1.2> TLS 1.1> TLS 1.0> SSL 3.0> SSL 2.0> SSL 1.0

  • Versi SSL sebelum 3.0 telah mengetahui kerentanan keamanan yang parah untuk sementara waktu dan dinonaktifkan / tidak didukung oleh klien dan server modern. SSL 3.0 kemungkinan akan berjalan dengan cara yang sama segera.

  • Dari protokol yang saat ini digunakan, "Poodle" paling parah memengaruhi SSL 3.0, di mana tidak ada cara untuk mengurangi. Ada serangan serupa terhadap beberapa implementasi TLS 1.0 dan 1.1 yang diizinkan oleh spesifikasi - pastikan perangkat lunak Anda mutakhir.


Sekarang, alasan "Poodle" adalah risiko bahkan dengan klien dan server modern adalah karena penerapan mekanisme fallback klien. Tidak semua server akan mendukung versi terbaru, sehingga klien akan mencoba setiap versi secara berurutan dari yang terbaru hingga yang terbaru (TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0) hingga menemukan versi yang didukung server. Ini terjadi sebelum komunikasi terenkripsi dimulai, sehingga penyerang man-in-the-middle (MITM) mampu memaksa browser untuk kembali ke versi yang lebih lama bahkan jika server mendukung yang lebih tinggi. Ini dikenal sebagai serangan downgrade protokol.

Khususnya, dalam kasus "Poodle", selama klien dan server mendukung SSL 3.0, penyerang MITM dapat memaksa penggunaan protokol ini.

Jadi ketika Anda menonaktifkan SSL 3.0, ini memiliki dua efek:

  • Klien yang mendukung versi yang lebih tinggi tidak dapat tertipu untuk kembali ke versi yang rentan ( TLS Fallback SCSV adalah mekanisme yang diusulkan baru untuk mencegah serangan downgrade protokol, tetapi belum semua klien dan server mendukungnya). Inilah alasan Anda ingin menonaktifkan SSL 3.0. Sebagian besar klien Anda kemungkinan masuk dalam kategori ini, dan ini bermanfaat.

  • Klien yang tidak mendukung TLS sama sekali (seperti yang lain telah disebutkan, IE6 pada XP adalah satu-satunya yang masih digunakan untuk HTTPS) tidak akan dapat terhubung melalui koneksi terenkripsi sama sekali. Ini mungkin sebagian kecil dari basis pengguna Anda, dan tidak ada gunanya mengorbankan keamanan mayoritas yang mutakhir untuk memenuhi minoritas ini.

Bob
sumber
8
Hai Bob, ini Alice di sini. Sukai penjelasan Anda tentang bagaimana Mallet dapat menggunakan Poodle.
BatteryBackupUnit
+1 Tidak tahu tentang serangan downgrade protokol.
developerwjk
1
UPDATE: "...everything less than TLS 1.2 with an AEAD cipher suite is cryptographically broken, including many implementations which conform to current specifications." zdnet.com/article/poodle-not-fixed-some-tls-systems-vulnerable
BlueCacti
@GroundZero > Tetapi ternyata beberapa implementasi TLS masih tidak memeriksa byte padding, meskipun kemampuan untuk melakukannya. => secara khusus, sementara implementasi TLS 1.0 dan 1.1 mungkin rusak (dan spek memungkinkan mereka rusak dengan cara ini, yang tidak baik), itu tidak seburuk SSL 3.0 di mana spek itu sendiri rusak dan tidak ada cara untuk implementasi yang sesuai untuk mengatasinya. Juga, "mematikan" dukungan TLS 1.0 dan 1.1 pada server adalah masalah yang jauh lebih sulit daripada mematikan SSL 3.0 - Anda akan memengaruhi proporsi pengguna Anda yang jauh lebih besar.
Bob
Sepertinya itu terutama implementasi sisi-server yang rentan (?) - perbaiki implementasi TLS Anda di server, dan Anda harus baik-baik saja (?) [Saya belum melihat ke dalam ini cukup untuk mengonfirmasi bahwa browser dan klien lain tidak terpengaruh , tetapi kata-kata dalam artikel yang Anda tautkan dan sumbernya menyarankan itu].
Bob
27

Penilaian Anda benar. Klien perlu menggunakan protokol yang lebih baru untuk terhubung ke server Anda setelah Anda menonaktifkan SSL 3. Protokol SSL 3 cacat, dan tidak akan ada "patch". Menonaktifkan SSL 3 adalah satu-satunya solusi.

Begitu banyak situs yang telah menonaktifkan SSL 3, pada saat ini, untuk membuatnya hampir tidak bisa dihindari bahwa pengguna browser yang lebih lama perlu meningkatkan. Dengan asumsi Anda mencatat string agen pengguna, Anda dapat meninjau log Anda dan membuat keputusan untuk menonaktifkan SSL 3. Saya pikir kemungkinan hanya sebagian kecil dari pengunjung situs Anda yang menggunakan browser yang tidak dapat menangani protokol yang lebih baru.

[fwiw - cloudflare melaporkan 1,12% pengguna adalah pengguna IE6 XP tergantung pada SSLv3]

Evan Anderson
sumber
1
Memang benar bahwa SSLv3 cacat, dan satu-satunya solusi nyata adalah menonaktifkan SSLv3. Ada juga mitigasi untuk serangan pudel yang tidak memerlukan penonaktifan SSLv3, jika Anda dapat menerima sandi RC4 untuk klien TLS 1.0, karena pudel hanya memengaruhi CBC mode cipher (AES). Saya sudah menggambarkannya di sini: serverfault.com/q/637848/249649
cypres
2
TLS_FALLBACK_SCSVtidak mengurangi serangan untuk klien yang lebih tua. Itu hanya memungkinkan klien lama untuk terus menggunakan protokol yang cacat sambil mencegah downgrade versi protokol yang tidak diinginkan untuk klien yang lebih baru. Pada akhirnya, membiarkan SSLv3 diaktifkan untuk klien mana pun berpotensi mengekspos traffic mereka ke penyerang.
Evan Anderson
RC4 memitigasi serangan ini untuk klien yang lebih tua, bukan scsv. Tapi kami lebih suka tidak menggunakan RC4, itulah sebabnya saya juga merekomendasikan menonaktifkan SSLv3 jika memungkinkan.
cypres
1
@cypres - Ya-- 'TLS_FALLBACK_SCSV' tidak membantu klien yang lebih tua. Saya berpendapat bahwa menggunakan cipher yang telah terbukti memiliki kelemahan serius juga tidak membantu. Kita harus membiarkan ini menjadi "hari bendera" yang menghilangkan SSL 3.0 dari 'net. Tentu - jika Anda memiliki peralatan yang lebih lama, perangkat yang disematkan, dll, yang tidak mendukung TLS di dalam perusahaan Anda, silakan jalankan SSL 3.0. Saya pikir itu tidak bertanggung jawab untuk mendorong siapa pun untuk terus menggunakan SSL 3.0 di Internet publik.
Evan Anderson
Hari ini saya menonaktifkan SSLv3 di Firefox dan hanya mengizinkan TLS dan saya melihat cukup banyak masalah koneksi ssl saat menjelajahi situs web di internet. Saya mendukung ratusan server Linux di mana sslv3 diaktifkan. Saya mungkin salah tetapi solusi terbaik untuk situasi ini adalah sampai vendor OS merilis sebuah tambalan sehingga tidak ada yang harus dilakukan pada klien. Masalahnya adalah Anda tidak dapat memprediksi dampaknya.
sandeep.s85
20

Ya, Menonaktifkan SSL3 akan membuatnya agar pengguna yang tidak mendukung TLS tidak dapat mengakses situs web Anda.

Namun, dari sudut pandang praktis, lihat browser apa yang termasuk dalam kategori itu. Chrome dan Firefox keduanya mendukung TLS dan bahkan akan menjatuhkan dukungan SSL3 sepenuhnya karena bug ini. IE telah mendukungnya sejak IE7. Satu-satunya browser yang tidak memiliki dukungan, tetapi masih digunakan dalam skala global, adalah IE6, dan satu-satunya alasan yang masih digunakan adalah 2 alasan:

  1. Siapa pun yang memiliki versi XP yang sudah di-crack dan tidak ada cara menggunakan Chrome atau Firefox;
  2. Siapa pun yang memiliki kebijakan perusahaan atau pemerintah dengan batasan mengenai pilihan browser.

Dalam kedua kasus ini, IE6 digunakan karena browser Windows XP default yang datang dengan instalasi asli. Selain itu, satu-satunya alasan IE6 masih memiliki (kecil) pangsa pasar global adalah karena banyaknya pengguna di Cina.

Jadi, cerita panjangnya: ada 3 pertanyaan:

  1. Apakah Anda memiliki basis pengguna Cina yang signifikan?
  2. Apakah situs web Anda menyediakan dukungan untuk IE6, meskipun sudah kuno dan rusak?
  3. Apakah situs web Anda merupakan produk yang digunakan oleh pemerintah atau perusahaan dengan batasan pilihan browser?

Jika salah satu dari 3 ini benar, Anda harus menemukan solusi alternatif. Jika ketiganya salah, cukup nonaktifkan dan lakukan saja. Dan jika Anda membutuhkan solusi alternatif, apakah Anda sangat sulit untuk meyakinkan bahwa sebagian kecil dari pengguna Anda yang masih menggunakan IE6 untuk beralih dari browser yang berusia 13 tahun.

Nzall
sumber
7

Anda menyebutkan " Apache " dan " browser " dalam pertanyaan Anda, tetapi judulnya lebih umum.

Seperti yang ditunjukkan Evan dan yang lainnya, masalahnya sudah diurutkan untuk HTTPS. Tetapi ada sejumlah protokol lain yang mungkin dienkripsi oleh server, dan dukungan TLS jauh lebih buruk di antara basis klien itu (seperti yang saya ketahui pagi ini, ketika memberi mandat "no SSL3" pada server IMAP / S).

Jadi saya khawatir jawabannya adalah " itu tergantung pada layanan apa yang Anda enkripsi, dan dukungan klien untuk TLS di antara basis pengguna Anda ".

Sunting : ya, itu maksud saya, meskipun saya senang Anda setuju. Mematikan sslv3 dilakukan berdasarkan layanan demi layanan. Misalnya, cara untuk mematikannya di dovecot adalah dengan meletakkannya

ssl_cipher_list = ALL:!LOW:!SSLv2:!SSLv3:!EXP:!aNULL

di dovecot.conf. Masalah yang lebih besar adalah bahwa sementara sebagian besar browser toleran terhadap hilangnya sslv3, klien dari layanan lain tampaknya jauh lebih tidak toleran. Saya memecahkan sekitar setengah pengguna saya pagi ini ketika saya mematikannya di dovecot; Ponsel Android yang menjalankan surat K-9 dan Outlook pada Win7 adalah dua yang saya tahu pasti, tetapi saya dapat melihat dari log saya ada lebih banyak.

Mematikan SSLv3 masih bukan hanya solusi yang valid, itu adalah satu - satunya solusi; tapi itu akan menyakitkan.

Sunting 2 : terima kasih kepada dave_thompson_085 untuk menunjukkan bahwa menonaktifkan cipher SSLv3 di dovecot tidak hanya menonaktifkan protokol SSLv3, tetapi juga TLSv1.0 dan TLSv1.1, karena mereka tidak memiliki ciphers yang tidak dimiliki oleh ciphers sebelumnya. Dovecot (setidaknya, versi sebelumnya, yang termasuk yang saya jalankan) tampaknya tidak memiliki kemampuan untuk mengkonfigurasi protokol daripada ciphersuites. Ini mungkin menjelaskan mengapa hal itu menghancurkan banyak klien.

MadHatter mendukung Monica
sumber
1
Saya juga sekarang telah membaca bahwa ini tidak hanya akan berdampak pada server web tetapi setiap layanan yang berjalan pada server yang menggunakan SSL yaitu Server Web, Server LDAP, daemon SSH, server POP3, server SMTP Jadi untuk server web kami memiliki Konfigurasi di Apache mod_ssl config file sebagai SSLProtocol All -SSLv2 -SSLv3 Kita perlu melihat layanan lain juga tentang bagaimana kita mencegah klien / server untuk menggunakan SSLv3
sandeep.s85
Serangan POODLE yang sebenarnya, seperti yang dijelaskan dalam penasihat keamanan , bergantung pada permintaan jumlah wajar yang dibuat dengan beberapa kemampuan kontrol dari penyerang. Dalam konteks HTTPS dan browser yang layak berkat skrip tetapi dalam konteks misalnya IMAPS saya tidak yakin bahwa ini adalah hal yang praktis untuk dilakukan. Menyingkirkan SSLv3 di seluruh papan tentu saja ideal tetapi saya hanya tidak yakin bahwa POODLE pada khususnya adalah semua yang relevan dengan beberapa kasus lainnya.
Håkan Lindqvist
Håkan, seiring berjalannya waktu, saya semakin setuju dengan Anda.
MadHatter mendukung Monica
3
Menonaktifkan cipher !SSLv3 di openssl sebenarnya menonaktifkan semua protokol kecuali TLSv1.2, yang mungkin tidak baik untuk rekan Anda. Inilah sebabnya mengapa menonaktifkan protokol lebih baik, tetapi AFAICS hanya di dovecot 2.1+. Lihat security.stackexchange.com/questions/71872/… .
dave_thompson_085
@ dave_thompson_085: ketika Anda mengatakan " menonaktifkan ... di openssl ", maksud Anda " menonaktifkan ... di dovecot "? Jika demikian, saya setuju dengan Anda, dan saya akan mengubah jawaban saya berdasarkan informasi ini, jika Anda dapat mengklarifikasi sesuai permintaan.
MadHatter mendukung Monica
6

Menonaktifkan SSLv3 adalah solusi terbaik , tapi saya tidak setuju itu satu-satunya solusi. Seperti yang dijelaskan CloudFlare, penggunaan SSLv3 sangat rendah , sehingga sebagian besar admin seharusnya tidak memiliki masalah mematikannya.

Jika Anda memiliki persyaratan khusus untuk SSLv3, mungkin Anda diminta untuk mendukung IE6 pada Windows XP, atau Anda diharuskan untuk mendukung perangkat lunak yang sangat lama, ada cara lain untuk memitigasi hal itu.

Cara untuk mengurangi itu, dan menjaga SSLv3, adalah dengan menggunakan RC4 dan mendukung TLS Fallback SCSV, yang disediakan oleh OpenSSL 1.0.1j. Dalam posting qualys pada pudel , RC4 adalah "cipher stream tidak aman tertentu yang namanya tidak ingin disebutkan".

Inilah yang dilakukan Google di mail.google.com, dan mereka juga menggambarkannya di entri blog mereka: http://googleonlinesecurity.blogspot.se/2014/10/this-poodle-bites-exploiting-ssl-30.html

pohon cemara
sumber
2
Saya benar-benar tidak yakin mana yang lebih buruk, membiarkan sistem terbuka untuk Poodle atau downshifting ke RC4 ...
Brian Knoblauch
Klien yang mendukung TLS 1.1+ tidak downshift ke RC4. Saya bukan ahli, tapi saya percaya pudel lebih buruk.
cypres
Bukankah RC4 pada dasarnya adalah singkatan dari Raw Cleartext?
Hagen von Eitzen
1
Tentunya Anda bercanda, tetapi tingkatkan poin yang valid. Bukannya rusak parah, ini adalah jawaban yang sangat bagus untuk hal ini di keamanan: security.stackexchange.com/a/32498
cypres
2

Satu detail hilang dari percakapan, berdasarkan pertanyaan awal mungkin merupakan ide bagus untuk mencatatnya. TLS 1.0 juga disebut sebagai SSL 3.1, jadi poster asli, Anda harus melihat konfigurasi Anda, apakah Anda menjalankan v3.0 atau v3.1

Cybersecchimesin
sumber
-3

Seperti kebanyakan hal, jawabannya adalah "itu tergantung". Satu-satunya browser dalam segala jenis penggunaan "umum" yang tidak mendukung TLS adalah IE6. Sayangnya, berbagai laporan mengatakan bahwa IE6 mungkin beberapa persen dari permintaan HTTP global (lihat: http://news.netcraft.com/archives/2014/10/15/googles-poodle-affects-oodles.html ) . Kabar baiknya, jika Anda di Amerika Utara, adalah bahwa itu relatif tidak umum di AS. Agar aman, Anda harus melihat statistik agen pengguna dari log www Anda. Dalam kasus saya, ada sangat sedikit IE6 ua sidik jari yang saya anggap semuanya dari alat pengujian.

Anda dapat menguji situs web Anda dengan tester ssllab untuk melihat bagaimana berbagai agen bereaksi.

https://www.ssllabs.com/ssltest/

TL; DR - SSLv3 sudah mati; TLS berumur panjang.

Joshua Hoblitt
sumber
15
IE6 bukan versi terakhir yang kompatibel dengan XP, ini adalah versi yang dikirimkan oleh XP. IE8 adalah versi terakhir yang kompatibel dengan XP.
Håkan Lindqvist
6
-1 karena kesalahan faktual yang mengindikasikan IE6 adalah versi terbaru pada xp.
TomTom
may be as much as a few percent of global HTTP requests. Saya mau sumber untuk itu. CloudFlare mengatakan ini tentang penggunaan: In other words, even on an out-of-date operating system, 98.88% Windows XP users connected using TLSv1.0+( blog.cloudflare.com/… ). Yang jauh lebih sedikit dari "beberapa persen" secara global.
faker
1
Saya menduga pelanggan cloudflares sebagian besar adalah perusahaan besar di Amerika Utara. Stat yang saya kutip berasal dari netcraft: news.netcraft.com/archives/2014/10/15/... "Meskipun sudah berumur dan berakhirnya dukungan Microsoft untuk Windows XP, IE6 tetap populer, menyumbang lebih dari 3,8% dari kunjungan web di seluruh dunia , dan 12,5% di Cina. Kerentanan ini dapat memicu lonceng kematian untuk IE6 dan Windows XP. "
Joshua Hoblitt