Caniche: ¿Deshabilitar SSL V3 en el servidor es realmente una solución?

39

He estado leyendo todo el día sobre la vulnerabilidad de Poodle y ahora estoy un poco confundido frente a Seguridad e Ingresos.

Si desactivo SSL V3 en el servidor (SSL V2 y V3 se desactivarán para los clientes de Apache) (navegadores) que no admiten ningún protocolo, pero SSL V3 no podrá conectar HTTPS con el servidor.

Por lo tanto, es una situación en la que tanto el cliente como el servidor deben comunicarse con TLS 1.1 1.2, etc.

Si alguno de ellos usa SSL V3 y el otro no admite versiones inferiores, ¿qué sucede? Sin conexión a SSL.

He visto algunas actualizaciones realizadas en Firefox, tal vez han deshabilitado el SSL V3 en lo que generalmente tenemos que hacer en las opciones. Esto forzará toda la conexión a versiones inferiores y TLS

¿Pero deshabilitar SSL V3 es realmente una solución para este problema?

sandeep.s85
fuente
44
¿Qué quiere decir con "Esto forzará toda la conexión a versiones inferiores y TLS"? SSLv1 y SSLv2 se han deshabilitado durante mucho tiempo porque se han roto. SSLv3 ha sido mal visto, pero en muchos casos se mantuvo habilitado para admitir software heredado. ¿Cuál es la versión inferior a la que te refieres? TLSv1.0, v1.1, v1.2, ... son estándares posteriores y pueden considerarse "SSL de versión superior", solo los números de versión se restablecieron con el cambio de nombre.
Håkan Lindqvist
Hola, entonces lo que he entendido hasta ahora es que si deshabilito SSL V3 y V2 en el servidor como lo recomienda Red Hat también, la conexión segura estará en el protocolo TLS. Y si los navegadores realizan una llamada en TLS con el servidor, entonces no habrá problemas en las conexiones seguras. No tengo la información exacta sobre la diferencia b / n de las versiones SSL y TLS ...
sandeep.s85

Respuestas:

52

Primero, aclaremos un poco las cosas:

  • TLS reemplazó SSL. TLS 1.0 vino después y es una actualización de SSL 3.0.

    TLS 1.2> TLS 1.1> TLS 1.0> SSL 3.0> SSL 2.0> SSL 1.0

  • Las versiones de SSL anteriores a la 3.0 han tenido graves vulnerabilidades de seguridad durante un tiempo y están deshabilitadas / no son compatibles con los clientes y servidores modernos. SSL 3.0 probablemente seguirá el mismo camino pronto.

  • De los protocolos utilizados actualmente, "Poodle" afecta más gravemente a SSL 3.0, donde no hay forma de mitigarlo. Existe un ataque similar contra algunas implementaciones de TLS 1.0 y 1.1 que permite la especificación: asegúrese de que su software esté actualizado.


Ahora, la razón por la que "Poodle" es un riesgo incluso con clientes y servidores modernos se debe a la implementación de un mecanismo de respaldo por parte de los clientes. No todos los servidores admitirán las últimas versiones, por lo que los clientes probarán cada versión en orden, desde la más reciente hasta la menos reciente (TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0) hasta que encuentre una que el servidor admita. Esto sucede antes comience la comunicación cifrada, por lo que un atacante man-in-the-middle (MITM) puede obligar al navegador a recurrir a una versión anterior, incluso si el servidor admite una versión superior. Esto se conoce como un ataque de degradación de protocolo.

Específicamente, en el caso de "Poodle", siempre que el cliente y el servidor admitan SSL 3.0, un atacante MITM puede forzar el uso de este protocolo.

Entonces, cuando deshabilita SSL 3.0, esto tiene dos efectos:

  • No se puede engañar a los clientes que admiten versiones superiores para que recurran a la versión vulnerable ( TLS Fallback SCSV es un nuevo mecanismo propuesto para evitar un ataque de degradación del protocolo, pero no todos los clientes y servidores lo admiten todavía). Esta es la razón por la que desea deshabilitar SSL 3.0. La gran mayoría de sus clientes probablemente caigan en esta categoría, y esto es beneficioso.

  • Los clientes que no admiten TLS en absoluto (como han mencionado otros, IE6 en XP es prácticamente el único que todavía se usa para HTTPS) no podrán conectarse a través de una conexión cifrada. Es probable que sea una porción menor de su base de usuarios, y no vale la pena sacrificar la seguridad de la mayoría que está actualizada para atender a esta minoría.

Mover
fuente
8
Hola Bob, esta es Alice aquí. Como su explicación sobre cómo Mallet puede hacer uso de Poodle.
BatteryBackupUnit
+1 No sabía sobre el ataque de degradación del protocolo.
developerwjk
1
ACTUALIZACIÓN: "...everything less than TLS 1.2 with an AEAD cipher suite is cryptographically broken, including many implementations which conform to current specifications." zdnet.com/article/poodle-not-fixed-some-tls-systems-vulnerable
BlueCacti
@GroundZero > Pero resulta que algunas implementaciones de TLS todavía no verificaron los bytes de relleno, a pesar de la capacidad de hacerlo. => específicamente, mientras que las implementaciones de TLS 1.0 y 1.1 pueden estar rotas (y la especificación les permite romperse de esta manera, lo que no es bueno), no es tan malo como SSL 3.0 donde la especificación en sí estaba rota y no había manera de que una implementación conforme funcione a su alrededor. Además, "desactivar" la compatibilidad con TLS 1.0 y 1.1 en el servidor es un problema mucho más difícil que desactivar SSL 3.0: afectará a una proporción mucho mayor de sus usuarios.
Bob
Parece que son principalmente las implementaciones del lado del servidor las que son vulnerables (?): Corrija su implementación de TLS en el servidor, y debería estar bien (?) [No he investigado esto lo suficiente como para confirmar que los navegadores y otros clientes no se vean afectados , pero la redacción de su artículo vinculado y su fuente sugieren que].
Bob
27

Tu valoración es correcta. Los clientes necesitarán usar protocolos más nuevos para conectarse a su servidor una vez que deshabilite SSL 3. El protocolo SSL 3 es defectuoso y no habrá "parche". Deshabilitar SSL 3 es la única solución.

En este punto, muchos sitios han deshabilitado SSL 3, por lo que es prácticamente inevitable que los usuarios de navegadores antiguos necesiten actualizarse. Suponiendo que está registrando cadenas de agente de usuario, puede revisar sus registros y tomar una decisión informada sobre la desactivación de SSL 3. Creo que es probable que solo un pequeño porcentaje de los visitantes de su sitio esté usando navegadores que no podrían manejar los protocolos más nuevos.

[fwiw - cloudflare informa que 1.12% de los usuarios son usuarios de IE6 XP dependiendo de SSLv3]

Evan Anderson
fuente
1
Si bien es cierto que SSLv3 tiene fallas, y la única solución real es deshabilitar SSLv3. También existe una mitigación para el ataque de poodle que no requiere deshabilitar SSLv3, si puede aceptar el cifrado RC4 para clientes TLS 1.0, ya que el poodle solo afecta a los cifrados de modo CBC (AES). Lo he descrito aquí: serverfault.com/q/637848/249649
cypres
2
TLS_FALLBACK_SCSVSin embargo, no está mitigando el ataque para clientes mayores. Solo permite que los clientes más antiguos continúen usando el protocolo defectuoso al tiempo que evita que las versiones de protocolo no deseadas degraden a los clientes más nuevos. Al final, dejar SSLv3 habilitado para cualquier cliente puede exponer su tráfico a los atacantes.
Evan Anderson
RC4 está mitigando este ataque para clientes mayores, no scsv. Pero preferimos no usar RC4, por eso también recomiendo deshabilitar SSLv3 si es posible.
cypres
1
@cypres - Sí-- 'TLS_FALLBACK_SCSV' no ayuda a clientes mayores. Yo diría que usar un cifrado que haya demostrado tener serias debilidades tampoco es útil. Tenemos que dejar que este sea un "día de bandera" que elimine SSL 3.0 de la red. Claro, si tiene dispositivos más antiguos, dispositivos integrados, etc., que no admiten TLS dentro de su empresa, no dude en ejecutar SSL 3.0. Sin embargo, creo que es irresponsable alentar a cualquiera a seguir usando SSL 3.0 en Internet público.
Evan Anderson
Hoy deshabilité SSLv3 en Firefox y permití solo TLS y veo una buena cantidad de problemas de conexión SSL mientras navegaba por sitios web en Internet. Estoy admitiendo cientos de servidores Linux donde sslv3 está habilitado. Puede que me equivoque, pero la solución definitiva para esta situación es hasta que los proveedores de sistemas operativos lancen un parche para que no se haga nada por parte del cliente. El problema es que no puedes predecir el impacto.
sandeep.s85
20

Sí, deshabilitar SSL3 hará que los usuarios que no admitan TLS no puedan acceder a su sitio web.

Sin embargo, desde un punto de vista práctico, observe qué navegadores entran en esa categoría. Chrome y Firefox son compatibles con TLS e incluso dejarán de admitir SSL3 por completo debido a este error. IE lo ha soportado desde IE7. El único navegador que no tiene soporte, pero que todavía se usa a escala global, es IE6, y la única razón por la que todavía se usa es por 2 razones:

  1. Cualquier persona con una versión crackeada de XP y sin forma de usar Chrome o Firefox;
  2. Cualquier persona en una política corporativa o gubernamental con restricciones con respecto a la elección del navegador.

En ambos casos, se usa IE6 porque es el navegador predeterminado de Windows XP que viene con la instalación original. Además, la única razón por la que IE6 todavía tiene una cuota de mercado global (pequeña) es por los muchos usuarios en China.

Entonces, larga historia corta: aquí hay 3 preguntas:

  1. ¿Tiene una importante base de usuarios chinos?
  2. ¿Su sitio web proporciona soporte para IE6, a pesar de que está anticuado y roto?
  3. ¿Su sitio web es un producto utilizado por un gobierno o una corporación con restricciones de elección de navegador?

Si alguno de estos 3 es cierto, tendrá que encontrar una solución alternativa. Si las 3 son falsas, simplemente desactívelas y termine con ellas. Y si necesita una solución alternativa, ¿es muy difícil convencer a esa pequeña parte de su base de usuarios que todavía usa IE6 para cambiar de un navegador de 13 años?

Nzall
fuente
7

Mencionas " Apache " y " navegadores " " en su pregunta, pero el título es más general.

Como señalan Evan y otros, el problema está casi resuelto para HTTPS. Pero hay una serie de otros protocolos que un servidor podría encriptar, y el soporte TLS es mucho más pobre entre esa base de clientes (como descubrí esta mañana, al ordenar "no SSL3" en un servidor IMAP / S).

Así que me temo que la respuesta es " depende de los servicios que encriptes y el soporte del cliente para TLS entre tu base de usuarios ".

Editar : sí, ese era mi punto, aunque me alegro de que estés de acuerdo. La desactivación de sslv3 se realiza servicio por servicio. Por ejemplo, la forma de apagarlo en dovecot es poner

ssl_cipher_list = ALL:!LOW:!SSLv2:!SSLv3:!EXP:!aNULL

en dovecot.conf. El mayor problema es que, si bien la mayoría de los navegadores son tolerantes a la pérdida de sslv3, los clientes de otros servicios parecen ser mucho menos tolerantes. Esta mañana rompí con la mitad de mis usuarios cuando lo apagué en dovecot; Los teléfonos Android con correo K-9 y Outlook en Win7 son dos de los que estoy seguro, pero puedo ver en mis registros que había más.

Desactivar SSLv3 todavía no es solo una solución válida, es la única solución; pero va a doler

Edición 2 : gracias a dave_thompson_085 por señalar que deshabilitar los cifrados SSLv3 en dovecot deshabilita no solo el protocolo SSLv3, sino también TLSv1.0 y TLSv1.1, ya que no tienen cifrados que el protocolo anterior no tiene. Dovecot (al menos, versiones anteriores, que incluyen la que estoy ejecutando) parece carecer de la capacidad de configurar protocolos en lugar de conjuntos de cifrado. Esto probablemente explica por qué hacerlo rompió con tantos clientes.

MadHatter apoya a Monica
fuente
1
También he leído que esto no solo afectará a los servidores web, sino también a cualquier servicio que se ejecute en el servidor que utilice SSL, es decir, servidores web, servidores LDAP, demonios SSH, servidores POP3, servidores SMTP. Para los servidores web tenemos la configuración en Apache archivo de configuración mod_ssl como SSLProtocol Todos -SSLv2 -SSLv3 También necesitamos buscar en otros servicios cómo evitar que el cliente / servidor use SSLv3
sandeep.s85
El ataque POODLE real, como se describe en el aviso de seguridad , se basa en una cantidad justa de solicitudes realizadas con cierta capacidad de control por parte del atacante. En el contexto de HTTPS y navegadores, eso es factible gracias a las secuencias de comandos, pero en el contexto de, por ejemplo, IMAPS, no estoy convencido de que esto sea algo práctico. Por supuesto, deshacerse de SSLv3 en todos los ámbitos es ideal, pero no estoy seguro de que POODLE en particular sea tan relevante para algunos de estos otros casos.
Håkan Lindqvist
Håkan, a medida que pasa el tiempo, estoy cada vez más de acuerdo contigo.
MadHatter apoya a Monica el
3
Deshabilitar los cifrados !SSLv3 en openssl en realidad deshabilita todos los protocolos, excepto TLSv1.2, que puede no ser bueno para sus pares. Es por eso que deshabilitar el protocolo es mejor, pero AFAICS solo en dovecot 2.1+. Consulte security.stackexchange.com/questions/71872/… .
dave_thompson_085
@ dave_thompson_085: cuando dices " deshabilitando ... en openssl ", ¿te refieres a " deshabilitando ... en dovecot "? Si es así, estoy de acuerdo con usted y enmendaré mi respuesta a la luz de esta información, si puede aclarar lo solicitado.
MadHatter apoya a Monica el
6

Deshabilitar SSLv3 es la mejor solución, pero no estoy de acuerdo con que sea la única solución. Como describe CloudFlare, el uso de SSLv3 es muy bajo , por lo que la mayoría de los administradores no deberían tener problemas para desactivarlo.

Si tiene un requisito especial para SSLv3, quizás deba admitir IE6 en Windows XP o deba admitir software muy antiguo, hay otra forma de mitigarlo.

La forma de mitigarlo y mantener SSLv3 es utilizar RC4 y admitir TLS Fallback SCSV, que es provisto por OpenSSL 1.0.1j. En la publicación de Qualys en Poodle , RC4 es el "cierto cifrado de flujo inseguro cuyo nombre nadie quiere mencionar".

Esto es lo que google hace en mail.google.com, y también lo describen en la entrada del blog: http://googleonlinesecurity.blogspot.se/2014/10/this-poodle-bites-exploiting-ssl-30.html

cipreses
fuente
2
Realmente no estoy seguro de qué es peor, dejar el sistema abierto a Poodle o cambiar a RC4 ...
Brian Knoblauch
Los clientes que admiten TLS 1.1+ no cambian a RC4. No soy un experto, pero creo que el poodle es peor.
cypres
¿RC4 no significa esencialmente Raw Cleartext?
Hagen von Eitzen
1
Seguramente estás bromeando, pero planteas un punto válido. No está tan mal roto, esta es una muy buena respuesta sobre esto en security: security.stackexchange.com/a/32498
cypres
2

Falta un detalle en la conversación, según la pregunta original, puede ser una buena idea anotarlo. TLS 1.0 también se conoce como SSL 3.1, por lo que el póster original debe mirar su configuración, ¿está ejecutando v3.0 o v3.1?

Cybersecchimesin
fuente
-3

Como con la mayoría de las cosas, la respuesta es "depende". El único navegador en cualquier tipo de uso "común" que no es compatible con TLS es IE6. Desafortunadamente, varios informes dicen que IE6 puede ser tanto como un pequeño porcentaje de las solicitudes HTTP globales (ver: http://news.netcraft.com/archives/2014/10/15/googles-poodle-affects-oodles.html ) . La buena noticia, si estás en América del Norte, es que es relativamente poco común en los Estados Unidos. Para estar seguro, debe mirar la estadística de agente de usuario de sus registros de www. En mi caso, había tan pocas huellas digitales IE6 ua que supuse que todas eran de herramientas de prueba.

Puede probar su (s) sitio (s) web con el probador de ssllab para ver cómo reaccionan varios agentes.

https://www.ssllabs.com/ssltest/

TL; DR: SSLv3 está muerto; larga vida a TLS.

Joshua Hoblitt
fuente
15
IE6 no es la última versión compatible con XP, es la versión que XP incluye. IE8 es la última versión compatible con XP.
Håkan Lindqvist
66
-1 debido a incorrecciones factales que indican que IE6 es la última versión en xp.
TomTom
may be as much as a few percent of global HTTP requests. Me gustaría una fuente para eso. CloudFlare dice esto sobre el uso: In other words, even on an out-of-date operating system, 98.88% Windows XP users connected using TLSv1.0+( blog.cloudflare.com/… ). Que es mucho menos que "un pequeño porcentaje" a nivel mundial.
falso
1
Sospecho que los clientes de cloudflares son en su mayoría grandes empresas norteamericanas. La estadística que cité vino de netcraft: news.netcraft.com/archives/2014/10/15/… "A pesar de su antigüedad y el fin del soporte de Microsoft para Windows XP, IE6 sigue siendo popular, representando más del 3.8% de las visitas web en todo el mundo y 12.5% ​​en China. Esta vulnerabilidad puede sonar a muerte para IE6 y Windows XP ".
Joshua Hoblitt