Frage:
Wie kann ich überprüfen, ob das SSLv3-Protokoll deaktiviert ist?
quanta
2014-10-23 22:19:35 UTC
view on stackexchange narkive permalink

Ich versuche, SSLv3 in ejabberd 2.1.10 unter Ubuntu 12.04 zu deaktivieren. Es gibt keine Möglichkeit, es in der Konfigurationsdatei zu deaktivieren, daher muss ich die Quelle patchen und das Paket neu erstellen: https://github.com/processone/ejabberd/issues/113

Wie kann ich nach dem Patchen und der Installation überprüfen, ob das SSLv3 -Protokoll deaktiviert ist? Da es sich um einen privaten Server handelt, kann ich https://xmpp.net/ nicht verwenden.

Ich weiß, dass wir openssl mit -ssl3 Option, ungefähr so:

  openssl s_client -connect chat.local: 5222 -starttls xmpp -ssl3  

aber Die Sache ist: Ich kann SSLv3 Cipher Suites nicht deaktivieren: https://github.com/processone/ejabberd/issues/113#issuecomment-29279707:

Bitte beachten Sie, dass Sie zwar SSL Version 3 deaktivieren können, "SSLv3-Verschlüsselungssuiten" jedoch nicht deaktivieren können, da dies nicht der Fall ist. Alle SSLv3-Verschlüsselungssuiten werden auch von allen TLS-Versionen verwendet (TLS 1.1 / 1.2 fügt nur einige hinzu neue).

Der obige Befehl zeigt also weiterhin das Ergebnis an:

  Neu, TLSv1 / SSLv3, Verschlüsselung ist AES256-SHAServer öffentlicher Schlüssel ist 2048 bitSecure Neuverhandlung wird unterstütztKomprimierung: NONEExpansion: NONESSL-Sitzung: Protokoll: SSLv3-Verschlüsselung: AES256-SHA Sitzungs-ID: Sitzungs-ID-ctx: Hauptschlüssel: D1D474B68F6C4F59ED5E96963F94FAF078 A0C5531A7841B1E0E34257925309A96EA2F25F59F65CCD151F05EB75BC935C Schlüsselargument: Keine PSK-Identität: Keine PSK-Identitätshinweis: Keine SRP-Benutzername: Keine Startzeit: 1414072098 Zeitüberschreitung: 7200 (Sek.) Rückgabecode überprüfen: 18 (selbstsigniertes Zertifikat)  Zwei Fragen:  
  1. Wie kann ein Online-SSL-Prüfer ( https://www.ssllabs.com/ssltest/, https://xmpp.net) /, ...) kann testen, ob das SSLv3 -Protokoll deaktiviert ist oder nicht?
  2. Besteht ein Risiko, wenn das SSLv3-Protokoll deaktiviert ist, die SSLv3-Verschlüsselungssuiten jedoch aus bestimmten Gründen aktiviert sind (z. B. wenn OpenSSL unter Ubuntu 12.04 TLSv1.2 deaktiviert hat, müssen wir die SSLv3-Verschlüsselungssuiten aktivieren, damit ein Überwachungstool funktioniert)?
  3. ol>
Siehe auch [diese Frage] (http://security.stackexchange.com/q/70940/9312).
Fünf antworten:
#1
+18
Steffen Ullrich
2014-10-23 22:38:56 UTC
view on stackexchange narkive permalink
  SSL-Sitzung: Protokoll: SSLv3-Verschlüsselung: AES256-SHA  

Auf Ihrem Server ist SSLv3 offensichtlich noch aktiviert. Wenn Sie SSLv3 openssl s_client -ssl3 - erfolgreich deaktiviert haben connect ... sollte ungefähr so ​​aussehen:

  ... SSL3_READ_BYTES: sslv3-Alarm-Handshake-Fehler: s3_pkt.c: 1260: SSL-Alarmnummer 40 ... SSL3_WRITE_BYTES: ssl Handshake-Fehler: s3_pkt.c: 596: ... Protokoll: SSLv3Cipher: 0000  

Der Indikator hier ist, dass Sie keine Verschlüsselung erhalten ("0000").

Für die Chiffren selbst müssen Sie keine Änderungen vornehmen.

#2
+11
that guy from over there
2014-10-24 00:01:59 UTC
view on stackexchange narkive permalink

nur der Vollständigkeit halber:

testssl.sh ist ein nettes, konsolenbasiertes Tool zum Überprüfen der SSL-Setups von SSL / Ts-fähigen Servern in entgegengesetzten Tossllabs

testssl

#3
+7
k1DBLITZ
2014-10-23 22:56:07 UTC
view on stackexchange narkive permalink

Zwei Möglichkeiten, die ich kenne:

Wenn Sie über Webinspect verfügen, wird dies speziell überprüft.

Die einfache Möglichkeit besteht darin, alle Protokolle im IE mit Ausnahme zu deaktivieren von SSLv3 und prüfen Sie, ob Sie eine Verbindung zur Website herstellen.

enter image description here

+1 für die Bereitstellung einer einfachen Methode, die jeder leicht anwenden kann.
#4
+7
user59338
2014-10-23 23:40:54 UTC
view on stackexchange narkive permalink

Qualys hat ein nettes SSL-Testtool, das Ihnen viele Informationen über Ihre SSL-Verbindung gibt. Sie können die vom Server unterstützte SSL-Version im Abschnitt "Protokoll" überprüfen.

https://www.ssllabs.com/ssltest/

#5
+2
AdamAntium
2014-10-24 00:16:50 UTC
view on stackexchange narkive permalink

Mit dem nmap-Skript 'ssl-enum-ciphers' kann ich herausfinden, welche Versionen und Chiffren unterstützt werden. Der Befehl lautet "nmap -p 443 --script ssl-enum-ciphers".

Die Ausgabe kann auch in ein grepable Format gebracht werden.

http: // nmap. org / nsedoc / scripts / ssl-enum-ciphers.html



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...