SSLv3 está roto
Con la llegada de POODLE, todas las suites de cifrado utilizadas por SSLv3 se han visto comprometidas, y el protocolo debe considerarse irreparablemente roto.
Sitios web
Puede verificar si su sitio web está disponible a través de SSLv3 con curl(1)
:
curl -v -3 -X HEAD https://www.example.com
El -v
argumento activa la salida detallada, -3
obliga a curl a usar SSLv3 y -X HEAD
limita la salida en una conexión exitosa.
Si no eres vulnerable, no deberías poder conectarte, y tu salida debería verse así:
* SSL peer handshake failed, the server most likely requires a client certificate to connect
Si es vulnerable, debería ver una salida de conexión normal, incluida la línea:
* SSL 3.0 connection using SSL_NULL_WITH_NULL_NULL
Otros servicios
No solo los sitios web están disponibles a través de SSL. Mail, irc y LDAP son tres ejemplos de servicios disponibles a través de conexiones seguras, y son igualmente vulnerables a POODLE cuando aceptan conexiones SSLv3.
Para conectarse a un servicio usando SSLv3, puede usar el comando:openssl(1)
s_client(1)
openssl s_client -connect imap.example.com:993 -ssl3 < /dev/null
El -connect
argumento toma un hostname:port
parámetro, el -ssl3
argumento limita las versiones de protocolo negociados a SSLv3, y la tubería en /dev/null
que STDIN
inmediatamente termina la conexión después de abrirlo.
Si se conecta correctamente, SSLv3 está habilitado; si obtienes un ssl handshake failure
entonces no lo es.
Ver también
Hay una excelente pregunta y respuesta sobre Security SE: /security/70719/ssl3-poodle-vulnerability
curl
la-v
bandera tenga una discusión; ¿Puedes confirmar lo que escribiste arriba? O si eso requiere una versión particular decurl
, sería útil saberlo también.SSL .*connection using .*_WITH_.*
equivale al fracaso.Si desea hacer una verificación rápida, diríjase a la URL a continuación. Hace un trabajo bastante bueno al mantenerse al día con todo lo relacionado con SSL, incluida la comprobación de POODLE.
https://www.ssllabs.com/ssltest/
fuente